List of Cryptography [text.Baldanders.info]

GnuPG 2.5.17 のリリース【セキュリティ・アップデート】

2026-01-28T07:02:53+00:00

セキュリティ・アップデートを含む GnuPG 2.5.17 がリリースされた。

[Announce] GnuPG and Gpg4win Security Advisory (T8044)

A crafted CMS (S/MIME) EnvelopedData message carrying an oversized wrapped session key can cause a stack buffer overflow in gpg-agent during the PKDECRYPT--kem=CMS handling. This can easily be used for a DoS but, worse, the memory corruption can very likley also be used to mount a remote code execution attack. The bug was introduced while changing an internal API to the FIPS required KEM API.

A CVE-id has not been assigned. We track this bug as T8044 under https://dev.gnupg.org/T8044. This vulnerability was discovered by: OpenAI Security Research. Their report was received on 2026-01-18; fixed versions released 2026-01-27.

via [Announce] GnuPG and Gpg4win Security Advisory (T8044)

2026-01-27 時点ではまだ CVE-ID は割り当てられていない。脆弱性の影響を受けるバージョンは以下の通り：

These versions are affected:

 - GnuPG 2.5.16          (released 2025-12-30)
 - GnuPG 2.5.15          (released 2025-12-29)
 - GnuPG 2.5.14          (released 2025-11-19)
 - GnuPG 2.5.13          (released 2025-10-22)
 - Gpg4win 5.0.0         (released 2026-01-14)
 - Gpg4win 5.0.0-beta479 (released 2026-01-02)
 - Gpg4win 5.0.0-beta476 (released 2025-12-22)
 - Gpg4win 5.0.0-beta395 (released 2025-10-22)

All other versions are not affected.

via [Announce] GnuPG and Gpg4win Security Advisory (T8044)

2.4 系は脆弱性の影響を受けない。なお 2.5 系は安定版に昇格している。さらに 2.4 系は 2026-06-30 でサポートが終了する。

Note that the 2.5 series is now declared the stable version of GnuPG. The oldstable 2.4 series will reach end-of-life in just 6 months.

The main features in the 2.5 series are improvements for 64 bit Windows and the introduction of Kyber (aka ML-KEM or FIPS-203) as PQC encryption algorithm. Other than PQC support the 2.6 series will not differ a lot from 2.4 because the majority of changes are internal to make use of newer features from the supporting libraries.

via [Announce] GnuPG 2.5.16 released

今回の脆弱性に関連して，以下のドキュメントも公開されている。

Responsible Disclosure Requires Accountability: Putting Recent GnuPG Security Reports into Context

これは

A talk at the 39th Chaos Communication Congress (39C3) presented several observations related to signature verification in GnuPG. These observations are documented on the accompanying website gpg.fail.

The way the findings were presented creates the impression that GnuPG is affected by serious security flaws and that we, as maintainers, are failing to meet our responsibilities.

In fact, we carefully reviewed each reported observation and provided timely feedback to the security researchers involved. However, this did not result in a constructive technical exchange.

via Responsible Disclosure Requires Accountability: Putting Recent GnuPG Security Reports into Context

ということで gpg.fail に対する公式な応答・評価となっている¹。詳しくはドキュメントを読んでもらうとして Kagi Assistant による要約は以下の通り。

GnuPG側は、39C3での発表に基づく gpg.fail の観察を文脈付きで評価し、指摘された問題の多くは実装上の致命的な脆弱性ではなく、使用方法やソーシャルエンジニアリング、検証不足に起因すると結論付けている

実際のバグは限定的で、既知の問題は過去に修正済みのものが多く、一部は互換性やUI安定性といった設計方針によるものであると説明している

全体として GnuPG は安全性と安定性を維持しつつ、透明なコミュニケーションと責任ある公開（responsible disclosure）が重要であり、悪用の可能性がある領域については利用者教育と適切な使用方法の周知を重視している

結論として、観察リストの大半は実装欠陥ではなく、適切な検証・運用の欠如や社会工学的リスクに起因するものとされている

ドキュメントで言及されているクリアテキスト署名（Cleartext Signatures）の問題については拙文でも言及しているので参考にどうぞ。

クリアテキスト署名の危険性

最近では GnuPG 以外にも様々な OpenPGP 実装が存在するので，それらについて調べてみてもいいかもしれない（というか調べなきゃなぁとは思っている）。

参考図書

暗号化プライバシーを救った反乱者たち: スティーブン・レビー (著), 斉藤隆央 (翻訳); 紀伊國屋書店 2002-02-16; 単行本; 4314009071 (ASIN), 9784314009072 (EAN), 4314009071 (ISBN); 評価

20世紀末，暗号技術の世界で何があったのか。知りたかったらこちらを読むべし！

reviewed by Spiegel on 2015-03-09 (powered by PA-APIv5)

暗号技術入門第3版　秘密の国のアリス: 結城浩 (著); SBクリエイティブ 2015-08-25 (Release 2015-09-17); Kindle版; B015643CPE (ASIN); 評価

SHA-3 や Bitcoin/Blockchain など新しい知見や技術要素を大幅追加。暗号技術を使うだけならこれ1冊でとりあえず無問題。

reviewed by Spiegel on 2015-09-20 (powered by PA-APIv5)

ドメインが gnupg.com となっているが，これは GnuPG を中核技術とした暗号製品の商用展開を行っている（主にドイツで）サイトである。つまり，このドキュメントは顧客へのメッセージにもなっているわけやね。 ↩︎

クリアテキスト署名の危険性

2026-01-07T07:46:00+00:00

Mastodon の TL で以下のアナウンスを見かけた。

Post by @GnuPG@mstdn.social

View on Mastodon

まとめて書かれているが，内容としては

注意喚起を促すブログ記事の紹介
GnuPG 最新版へのアップデート

の2点ある。このうち，前半の注意喚起を促すブログ記事がこちら

Cleartext Signatures Considered Harmful

クリアテキスト署名とは，以下のように平文テキストと電子署名が一体化した形式の署名である。

このブログ記事を Kagi Assistant に要約してもらった。こんな感じ。

以下は指定ページの要約です。

要旨：PGPの「クリアテキスト署名」は一見便利だが、表示と実際に署名された内容が一致しない可能性があり危険であると指摘している。検証が容易ではなく攻撃に対して脆弱であるため、使用を避けるべきという結論を示している。

主な問題点：

端末やビューアのエスケープコードや制御文字により、表示内容が改変され得ること。

エンコーディングや改行の扱いの差異で、見た目と署名対象が食い違う恐れがあること。

偽のヘッダーやコメント行の誤解を利用した混乱を招く手法が存在すること。

これらの落とし穴は歴史的背景の中で認識されてきたが、現在も実用上のリスクとなっていること。

推奨事項：

クリアテキスト署名の使用を避け、代わりにデタッチ署名（別ファイルの署名）を使うことを強く推奨すること。

電子メールではPGP/MIMEの利用を推奨すること（テキスト表示の差異による誤検証を防ぐため）。

結論：可読性の利点はあるが、セキュリティ上の欠点が重大であるため、より安全な署名形式へ移行すべきである。

んー。だいたい合ってるかな。

クリアテキスト署名は大昔の素朴な電子メールなど限られたコミュニケーション手段しかなかった時代の形式で，現代の多様なデータをやり取りする際のエンコーディング手段としては適切とは言えなくなっている。なので，データと署名を分ける分離署名（detached signature）を用いるか，電子メールであれば PGP/MIME を使うことを推奨する，という内容である。

アナウンスの後半は古いバージョン GnuPG には ASCII-Armor 形式のテキストデータの解析においてメモリ破壊があるので最新版にアップデートしてね，というもの。ちなみに，この不具合は 2025-11-27 にリリースされたバージョン 2.5.14 で修正されている。バージョン 2.5.16 および 2.4.9 は 2025-12-30 にリリースされている。

なお GnuPG 2.5 系は安定版に昇格している。さらに 2.4 系は 2026-06-30 でサポートが終了する。

Note that the 2.5 series is now declared the stable version of GnuPG. The oldstable 2.4 series will reach end-of-life in just 6 months.

The main features in the 2.5 series are improvements for 64 bit Windows and the introduction of Kyber (aka ML-KEM or FIPS-203) as PQC encryption algorithm. Other than PQC support the 2.6 series will not differ a lot from 2.4 because the majority of changes are internal to make use of newer features from the supporting libraries.

via [Announce] GnuPG 2.5.16 released

ブックマーク

参考図書

暗号化プライバシーを救った反乱者たち: スティーブン・レビー (著), 斉藤隆央 (翻訳); 紀伊國屋書店 2002-02-16; 単行本; 4314009071 (ASIN), 9784314009072 (EAN), 4314009071 (ISBN); 評価

20世紀末，暗号技術の世界で何があったのか。知りたかったらこちらを読むべし！

reviewed by Spiegel on 2015-03-09 (powered by PA-APIv5)

PGP―暗号メールと電子署名: シムソンガーフィンケル (著), Garfinkel,Simson (原著), ユニテック (翻訳); オライリー・ジャパン 1996-04-01; 単行本; 4900900028 (ASIN), 9784900900028 (EAN), 4900900028 (ISBN); 評価

良書なのだが，残念ながら内容が古すぎた。 PGP の歴史資料として読むならいいかもしれない。

reviewed by Spiegel on 2014-10-16 (powered by PA-APIv5)

暗号技術入門第3版　秘密の国のアリス: 結城浩 (著); SBクリエイティブ 2015-08-25 (Release 2015-09-17); Kindle版; B015643CPE (ASIN); 評価

SHA-3 や Bitcoin/Blockchain など新しい知見や技術要素を大幅追加。暗号技術を使うだけならこれ1冊でとりあえず無問題。

reviewed by Spiegel on 2015-09-20 (powered by PA-APIv5)

「Signal は安全か？」

2025-12-12T05:11:11+00:00

Proton Mail や Proton VPN などでおなじみ Proton が，暗号化メッセージングアプリ Signal を評価する記事を公開している。

Is Signal safe? What to know about this encrypted messaging app | Proton

今頃こんな記事が出る背景のひとつとして，今年の春に話題になった通称 “Signalgate” 事件があると思われる。この辺の話は以前記事にした。

Signal グループチャット内容の漏洩と NSA

“Is Signal safe?” でも以下のように言及されている。

In a stunning breach of national security, a reporter for The Atlantic was inadvertently invited to join the group chat and soon made a partially redacted transcript of it available to the public. Crucially, the entire “Signalgate” scandal was the result of purely human error, not any technical flaw in Signal.

via Is Signal safe? What to know about this encrypted messaging app

ことの重大性に比してかなり間抜けな事件だと個人的には思うが，その後も

A similar issue appears to be responsible for a successful FBI spying operation that targeted an immigrants’ rights activists Signal group chat. Although details are not yet clear, the FBI said the information came from a “sensitive source with excellent access”, which strongly suggests that an inside source had been invited to the chat.

via Is Signal safe? What to know about this encrypted messaging app

みたいな事例が発覚してるそうで，オンライン・コミュニティにスパイを紛れ込ませて秘匿情報を抜いたり悪意のコードを組み込む手法は，もはや常套手段になっているのかもしれない。

もうひとつ “Is Signal safe?” で面白いと思ったのは Signal を含めた暗号化メッセージングアプリの比較である。記事では以下の観点で比較が行われている。

Messages and calls encrypted in transit and at rest (メッセージと通話は転送中および保存時に暗号化)
Messages and calls encrypted end to end (メッセージと通話はエンドツーエンドで暗号化)
Metadata minimized (メタデータの最小化)
No sharing of your data (データを共有しない)
Open source and audited (オープンソースで監査済み)
Jurisdiction (法的管轄)

比較表はこんな感じ。

via How secure and private is Signal?

まぁ Signal が基準なので，これが（Jurisdiction を除いて）満点なのは当然だが，特筆すべきは Threema だろう。 Threema は WhatsApp の代替アプリとして有名なようで，件の記事でも

All Threema apps use the open-source NaCl cryptography library to encrypt messages end to end, and they have been audited by security professionals. Unlike most messaging apps, you don’t need an email address or phone number to register an account, and it’s possible to purchase Threema for Android anonymously using Bitcoin —Threema is a paid app. The company says this allows you to text and make calls anonymously, and it goes to lengths to ensure that it collects minimum metadata.

via Is Signal safe? What to know about this encrypted messaging app

と有料アプリながら絶賛している¹。

Threema と比較してということになるだろうが Signal への懸念として

However, being hosted on AWS servers remains a concern in light of Signal’s reliance on SGX. There are a number of open-source encrypted messaging apps like Threema that try to address this and other perceived issues with Signal — such as its reliance on a centralized server and the need to supply a real phone number— some of which show great promise.

via Is Signal safe? What to know about this encrypted messaging app

と述べていて，もはや米国および米国ビッグテックへの依存は，セキュリティやプライバシーの観点から，リスクと見なされていることが分かる。

とはいえ，ユーザ規模や外部からの厳密なセキュリティ精査といった面を考えれば，暗号化メッセージングアプリの選択肢として上位にあるのは変わらないだろう。メッセージングアプリは相手がいて初めて成立するしね。その上で Threema のような選択肢があることも頭の隅に入れておくのがいいかもしれない。

参考図書

超監視社会: ブルース・シュナイアー (著), 池村千秋 (翻訳); 草思社 2016-12-13 (Release 2017-02-03); Kindle版; B01MZGVHOA (ASIN)

実は積ん読のまま読んでない。そろそろちゃんと最後まで読まないと。

reviewed by Spiegel on 2019-03-23 (powered by PA-APIv5)

もうすぐ絶滅するという開かれたウェブについて続・情報共有の未来: yomoyomo (著); 達人出版会 2017-12-25 (Release 2019-03-02); デジタル書籍; infoshare2 (tatsu-zine.com); 評価

WirelessWire News 連載の書籍化。感想はこちら。祝 Kindle 化！

reviewed by Spiegel on 2018-12-31

Proton の別の記事 “Best WhatsApp alternatives for privacy” でも Threema を最高評価している。 ↩︎

Signal グループチャット内容の漏洩と NSA

2025-04-01T16:36:55+00:00

先週の話であるが Signal のグループチャットから国家機密情報が漏洩していたというニュースがあった。

The Trump Administration Accidentally Texted Me Its War Plans - The Atlantic

この記事は購読しないと見れないが，私は Bluesky の TL で見かけて知った。

朝起きてトランプ政権に驚かされる事はよくあるけれど、今朝のこれは凄いな。トランプ政権の重要閣僚がイエメンのフーシ派攻撃計画をシグナルで話し合っており、グループチャットに誤ってThe Atlanticの編集長を招待していたという話。ゴールドバーグ編集長は最初何かの罠なのか、それともいたずらかと無言で成り行きを見守っていたが、参加者の言動があまりにも「らしい」上に、ユーザーネームが「ピート・ヘグセス」の発言通りにイエメンが爆撃され始めて、重大な国家機密の漏洩に意図せず巻き込まれた事を悟ったと。　1/3 www.theatlantic.com/politics/arc...

[image or embed]
— 鯛猫 (@taineko399.bsky.social) March 25, 2025 at 7:16 AM

笑うのが「誤ってThe Atlanticの編集長を招待」してグループチャットを開始したのが国家安全保障担当補佐官 (US National Security Advisor) の Mike Waltz 氏というところだろうか。彼は “The Atlantic” の編集長をグループチャットに加えたことを認めておらず

“Of course, I didn’t see this loser in the group. It looked like someone else. Now, whether he did it deliberately or it happened in some other technical mean, is something we’re trying to figure out,” Waltz said, without evidence, on Fox News.

via Trump admin's shifting explanations for how a journalist was added to Signal chat - ABC News

などと語ってるらしい（言いがかり？）。もちろん “The Atlantic” の編集長は

“I didn’t hack into anyone’s phone,” Goldberg told ABC News Live anchor Kyra Phillips on Wednesday. “Mike Waltz invited me to Signal and then he invited me to a group. I don’t know how to say it more simply than that.”

via Trump admin's shifting explanations for how a journalist was added to Signal chat - ABC News

と反論している。

これに関連して面白かったのが，遡ること2025年2月に NSA (National Security Agency; 国家安全保障局) が自身の職員に対し Signal に脆弱性があると警告していたというニュースだ（これ自体は最初に挙げたニュースの翌日に流された）。

The National Security Agency sent out an operational security special bulletin to its employees in February 2025 warning them of vulnerabilities in using the encrypted messaging application Signal, according to internal NSA documents obtained by CBS News.

[…]

The bulletin warned of Russian professional hacking groups employing phishing scams to gain access to encrypted conversations, bypassing the end-to-end encryption the application uses.

The bulletin also underscored to NSA employees that third-party messaging applications such as Signal and Whatsapp are permitted for certain “unclassified accountability/recall exercises” but not for communicating more sensitive information.

via NSA warned of vulnerabilities in Signal app a month before Houthi strike chat - CBS News

ちなみに「Signal に脆弱性がある」という点について Signal は「それは脆弱性じゃなくて Phishing だろ」と反論している¹。それはともかく，今回は国家安全保障担当補佐官氏の PON だと思うけどな（いや，そんな可愛らしいもんじゃないがw）。

とまぁ，ここまでが前説（なげーよ！）。ここから Bruce Schneier 先生のエッセイが登場する。

The Signal Chat Leak and the NSA - Schneier on Security

米国に於いて NSA には2つの役割がある。

It’s common knowledge that the NSA’s mission is breaking into and eavesdropping on other countries’ networks. (During President George W. Bush’s administration, the NSA conducted warrantless taps into domestic communications as well—surveillance that several district courts ruled to be illegal before those decisions were later overturned by appeals courts. To this day, many legal experts maintain that the program violated federal privacy protections.) But the organization has a secondary, complementary responsibility: to protect US communications from others who want to spy on them. That is to say: While one part of the NSA is listening into foreign communications, another part is stopping foreigners from doing the same to Americans.

via The Signal Chat Leak and the NSA - Schneier on Security

つまり NSA は諜報活動として他国や敵対組織の通信を傍受する必要があり，同時に自国の通信の秘密は（他国や敵対組織から）守る必要がある。ここで「セキュリティのトレードオフ」が発生するわけだ。

Previously, it might have preferred to keep the flaw quiet and use it to listen to adversaries. Now, if the agency does that, it risks someone else finding the same vulnerability and using it against the US government. And if it was later disclosed that the NSA could have fixed the problem and didn’t, then the results might be catastrophic for the agency.

via The Signal Chat Leak and the NSA - Schneier on Security

特に興味深かったのがこの話（ちなみに2024年11月のロイター記事）：

WASHINGTON, Nov 13 (Reuters) - China-linked hackers have intercepted surveillance data intended for American law enforcement agencies after breaking in to an unspecified number of telecom companies, U.S. authorities said on Wednesday.

[…]

The announcement confirms the broad outlines of previous media reports, especially those in the Wall Street Journal, that Chinese hackers were feared to have opened a back door into the interception systems used by law enforcement to surveil Americans’ telecommunications.

via China-linked hackers stole surveillance data from telecom companies, US says | Reuters

つまり米国が通信傍受のために仕掛けたバックドアに中国のハッカーがバックドアを開けたんじゃないか？ということらしい。裏口の裏口とか（笑）

スマートフォンおよびスマートフォン上のアプリについても同じことが言える。というか，スマートフォンは重要な機密を守るという点において適切なデバイスとは言えない。

The biggest risk of eavesdropping on a Signal conversation comes from the individual phones that the app is running on. While it’s largely unclear whether the US officials involved had downloaded the app onto personal or government-issued phones—although Witkoff suggested on X that the program was on his “personal devices"—smartphones are consumer devices, not at all suitable for classified US government conversations.

via The Signal Chat Leak and the NSA - Schneier on Security

米国現政権を見てつくづく思うのは「真正の馬鹿は害悪にしかならない」だが，今回のグループチャット内容の漏洩に関しては，ある意味で朗報だったかもしれない。何故なら，セキュリティというのはもっとも脆弱なところから崩れていくものであり，セキュリティ管理はそこに基準を合わせる必要があることを再確認できたから。

As long as smartphones are in the pocket of every government official, police officer, judge, CEO, and nuclear power plant operator—and now that they are being used for what the White House now calls calls “sensitive,” if not outright classified conversations among cabinet members—we need them to be as secure as possible. And that means no government-mandated backdoors.

via The Signal Chat Leak and the NSA - Schneier on Security

そして NSA は Signal を含むスマホアプリの脆弱性について「黙して語らず」というわけにはいかなくなった。

Other governments, possibly including US allies, will now have much more incentive to break Signal’s security than they did in the past, and more incentive to hack US government smartphones than they did before March 24.

For just the same reason, the US government has urgent incentives to protect them.

via The Signal Chat Leak and the NSA - Schneier on Security

というわけで，メッセージング・アプリは米国政府関係者からテロリストまで多くの人に愛される Signal を使いましょう，というお話でした。

ブックマーク

参考文献

暗号化プライバシーを救った反乱者たち: スティーブン・レビー (著), 斉藤隆央 (翻訳); 紀伊國屋書店 2002-02-16; 単行本; 4314009071 (ASIN), 9784314009072 (EAN), 4314009071 (ISBN); 評価

20世紀末，暗号技術の世界で何があったのか。知りたかったらこちらを読むべし！

reviewed by Spiegel on 2015-03-09 (powered by PA-APIv5)

セキュリティはなぜやぶられたのか: ブルース・シュナイアー (著), 井口耕二 (翻訳); 日経BP 2007-02-15; 単行本; 4822283100 (ASIN), 9784822283100 (EAN), 4822283100 (ISBN); 評価

原書のタイトルが “Beyond Fear: Thinking Sensibly About Security in an Uncertain World” なのに対して日本語タイトルがどうしようもなくヘボいが中身は名著。とりあえず読んどきなはれ。ゼロ年代当時 9.11 およびその後の米国のセキュリティ政策と深く関連している内容なので，そのへんを加味して読むとよい。

reviewed by Spiegel on 2019-02-11 (powered by PA-APIv5)

Signal 側はグループチャットへのソーシャル・エンジニアリング（Phishing）に対抗する手段を2025年2月の時点で既に実装している。 NSA 内部に向けた警告はこれに絡む話だったのかもしれない。いずれにしろ NSA 内部で自前でないサービスは使わないだろうけど。ちなみに Signal のコードは AGPLv3 ライセンス下で公開されている。また EFF (Electronic Frontier Foundation) での評価も高く，かつてあった “Secure Messaging Scorecard” でも満点のスコアを叩き出したほか，今でも “Surveillance Self-Defense” に “How to: Use Signal” のページがある。 ↩︎

OpenPGP 公開鍵を新しくした

2025-03-30T12:03:33+00:00

OpenPGP 公開鍵を新しくした

昨年，ようやく Ubuntu 内の GnuPG が 2.4 系に上がったので，いよいよ OpenPGP 公開鍵を新しくすることにした。新しい鍵は本家サイトの以下のページにある。

OpenPGP 公開鍵リスト

最初「来年からまた短期の運用に戻そう」と思っていた。ここ3年間，有効期限の延長しかしてないけど… 正直ダルい。というわけで2030年までの長期運用にした。なぜ無期限にしなかったのかについては後述する。

OpenPGP 鍵作成手順

今回は

証明専用の主鍵を作成する
署名用の副鍵を作成する
暗号用の副鍵を作成する

という3ステップで作成した¹。

まずは主鍵の作成²：

$ gpg --full-gen-key --expert
gpg (GnuPG) 2.4.4; Copyright (C) 2024 g10 Code GmbH
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

ご希望の鍵の種類を選択してください:
   (1) RSA と RSA
   (2) DSA と Elgamal
   (3) DSA (署名のみ)
   (4) RSA (署名のみ)
   (7) DSA (機能をあなた自身で設定)
   (8) RSA (機能をあなた自身で設定)
   (9) ECC (署名と暗号化) *デフォルト
  (10) ECC (署名のみ)
  (11) ECC (機能をあなた自身で設定)
  (13) 既存の鍵
  (14) カードに存在する鍵
あなたの選択は? 11

このECC鍵にありうる操作: Sign Certify Authenticate
現在の認められた操作: Sign Certify

   (S) 署名機能を反転する
   (A) 認証機能を反転する
   (Q) 完了

あなたの選択は? s

このECC鍵にありうる操作: Sign Certify Authenticate
現在の認められた操作: Certify

   (S) 署名機能を反転する
   (A) 認証機能を反転する
   (Q) 完了

あなたの選択は? q
ご希望の楕円曲線を選択してください:
   (1) Curve 25519 *デフォルト
   (2) Curve 448
   (3) NIST P-256
   (4) NIST P-384
   (5) NIST P-521
   (6) Brainpool P-256
   (7) Brainpool P-384
   (8) Brainpool P-512
   (9) secp256k1
あなたの選択は? 1
鍵の有効期限を指定してください。
         0 = 鍵は無期限
      <n>  = 鍵は n 日間で期限切れ
      <n>w = 鍵は n 週間で期限切れ
      <n>m = 鍵は n か月間で期限切れ
      <n>y = 鍵は n 年間で期限切れ
鍵の有効期間は? (0) 1828
鍵は2030年04月01日 13時21分30秒 JSTで期限切れとなります
これで正しいですか? (y/N) y

GnuPGはあなたの鍵を識別するためにユーザIDを構成する必要があります。

本名: Spiegel
電子メール・アドレス: spiegel@example.com
コメント: main
次のユーザIDを選択しました:
    "Spiegel (main) <spiegel@example.com>"

名前(N)、コメント(C)、電子メール(E)の変更、またはOK(O)か終了(Q)? o

...

GnuPG 2.4 系では EdDSA が既定になった³。楕円曲線に Curve 25519 または Curve 448 を選択すれば EdDSA にできる。

署名用の副鍵の作成：

$ gpg --edit-key --expert 1A69C1BE7345EDF6EF52B2EE21FD7CE9BC554D13
gpg (GnuPG) 2.4.4; Copyright (C) 2024 g10 Code GmbH
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

秘密鍵が利用できます。

gpg: 信用データベースの検査
gpg: marginals needed: 3  completes needed: 1  trust model: pgp
gpg: 深さ: 0  有効性:   4  署名:   4  信用: 0-, 0q, 0n, 0m, 0f, 4u
gpg: 深さ: 1  有効性:   4  署名:   0  信用: 2-, 0q, 0n, 1m, 1f, 0u
gpg: 次回の信用データベース検査は、2025-04-01です
sec  ed25519/21FD7CE9BC554D13
     作成: 2025-03-30  有効期限: 2030-04-01  利用法: C
     信用: 究極        有効性: 究極
[  究極  ] (1). Spiegel (main) <spiegel@example.com>

gpg> addkey
ご希望の鍵の種類を選択してください:
   (3) DSA (署名のみ)
   (4) RSA (署名のみ)
   (5) Elgamal (暗号化のみ)
   (6) RSA (暗号化のみ)
   (7) DSA (機能をあなた自身で設定)
   (8) RSA (機能をあなた自身で設定)
  (10) ECC (署名のみ)
  (11) ECC (機能をあなた自身で設定)
  (12) ECC (暗号化のみ)
  (13) 既存の鍵
  (14) カードに存在する鍵
あなたの選択は? 10
ご希望の楕円曲線を選択してください:
   (1) Curve 25519 *デフォルト
   (2) Curve 448
   (3) NIST P-256
   (4) NIST P-384
   (5) NIST P-521
   (6) Brainpool P-256
   (7) Brainpool P-384
   (8) Brainpool P-512
   (9) secp256k1
あなたの選択は? 1
鍵の有効期限を指定してください。
         0 = 鍵は無期限
      <n>  = 鍵は n 日間で期限切れ
      <n>w = 鍵は n 週間で期限切れ
      <n>m = 鍵は n か月間で期限切れ
      <n>y = 鍵は n 年間で期限切れ
鍵の有効期間は? (0) 1828
鍵は2030年04月01日 13時27分57秒 JSTで期限切れとなります
これで正しいですか? (y/N) y
本当に作成しますか? (y/N) y

...

今回は gpg --edit-key コマンドで対話モードを起動し addkey コマンドで署名鍵を追加している⁴。署名鍵も EdDSA で作成する。

さくさく行こう。次は暗号用の副鍵の作成：

gpg> addkey
ご希望の鍵の種類を選択してください:
   (3) DSA (署名のみ)
   (4) RSA (署名のみ)
   (5) Elgamal (暗号化のみ)
   (6) RSA (暗号化のみ)
   (7) DSA (機能をあなた自身で設定)
   (8) RSA (機能をあなた自身で設定)
  (10) ECC (署名のみ)
  (11) ECC (機能をあなた自身で設定)
  (12) ECC (暗号化のみ)
  (13) 既存の鍵
  (14) カードに存在する鍵
あなたの選択は? 12
ご希望の楕円曲線を選択してください:
   (1) Curve 25519 *デフォルト
   (2) Curve 448
   (3) NIST P-256
   (4) NIST P-384
   (5) NIST P-521
   (6) Brainpool P-256
   (7) Brainpool P-384
   (8) Brainpool P-512
   (9) secp256k1
あなたの選択は? 1
鍵の有効期限を指定してください。
         0 = 鍵は無期限
      <n>  = 鍵は n 日間で期限切れ
      <n>w = 鍵は n 週間で期限切れ
      <n>m = 鍵は n か月間で期限切れ
      <n>y = 鍵は n 年間で期限切れ
鍵の有効期間は? (0) 1828
鍵は2030年04月01日 13時34分28秒 JSTで期限切れとなります
これで正しいですか? (y/N) y
本当に作成しますか? (y/N) y

...

EdDSA と対となるよう楕円曲線暗号（ECDH アルゴリズム）で Curve 25519 を選択する。

ついでに作成した鍵に私の眠り猫アイコンを仕込んでおく。

gpg> addphoto

あなたのフォトIDに使う画像を決めてください。画像はJPEGファイルである必
要があります。画像は公開鍵といっしょに格納される、ということを念頭にお
いておきましょう。もし大きな写真を使うと、あなたの鍵も同様に大きくなり
ます! 240x288くらいにおさまる大きさの画像は、使いよいでしょう。

フォトID用のJPEGファイル名を入力してください: /path/to/avatar.jpg
この写真は正しいですか (y/N/q)? y

...

最後に save コマンドで保存し edit モードを終了する。

OpenPGP と LibrePGP

今回の鍵の変更や拙作 gpgpdump のための調査で気がついたが OpenPGP と LibrePGP は仕様レベルで違うものらしい。

OpenPGP は2024年7月にリリースされた RFC 9580 で標準化されているが，それとは別に LibrePGP ってのがあって draft-koch-librepgp にて議論されているっぽい。

OpenPGP (RFC 9580) と LibrePGP の最大の違いはパケットバージョンで， LibrePGP が RFC 4880bis の V5 パケット仕様を引き継いでいるのに対し OpenPGP は RFC 4880bis を仕切り直した draft-ietf-openpgp-crypto-refresh の議論の中で V5 パケットを捨て V6 パケットを定義している。この違いで影響するのが楕円曲線暗号, AEAD (Authenticated Encryption with Associated Data; 認証付き暗号), 鍵指紋, および耐量子コンピュータ暗号 (Post-Quantum cryptography) である。

ちなみに耐量子コンピュータ暗号は OpenPGP 側は draft-ietf-openpgp-pqc にて LibrePGP 側は draft-koch-librepgp にて検討されている。また公開テスト中の GnuPG 2.5 系では draft-koch-librepgp 仕様ベースで耐量子コンピュータ暗号の実装を行っているようだ（確認してない）。

私は draft-ietf-openpgp-crypto-refresh で仕切り直される2021年あたりから次期 OpenPGP の議論を追い切れなくなっていて，こんなヘンテコなことになってるのに気づかなかった。 RFC 9580 の “Authors” を見ると Proton AG や Sequoia PGP の中の人が名を連ねているのに対し draft-koch-librepgp は g10 Code GmbH の Werner Koch さん（GnuPG のメイン開発者）の名前が見える。

なんか面倒臭いことになってる？

ユーザ側が OpenPGP と LibrePGP との間の差異で混乱するのは面白くないので，当面の間，以下の運用を行うことをオススメする。

V5 および V6 パケットは使わない
AEAD は使わない
耐量子コンピュータ暗号には手を出さない

パケットバージョンの組み合わせに関しては RFC 9580 で以下のように決められている。

Signing Key Version	Signature Packet Version	One-Pass Signature Packet Version	Generate?
v3	v3	v3	No
v4	v3	v3	No
v4	v4	v3	Yes
v6	v6	v6	Yes

OpenPGP 鍵および署名のバージョン

RFC 9580 では “Generate?” の項目が “Yes” の組み合わせのみ生成が許容される（“No” の組み合わせは後方互換のために残される）。この表の下から2番目の組み合わせ（v4-v4-v3）であれば GnuPG 2.4 系の通常の操作で作成・処理が可能である。

AEAD に関しては OpenPGP と LibrePGP との間に互換性はない。

GnuPG 2.4 系で新たに生成した鍵に対し gpg --edit-key コマンドを起動し選好（preferences）を showpref コマンドで確認する。

$ gpg --edit-key --expert 1A69C1BE7345EDF6EF52B2EE21FD7CE9BC554D13
gpg (GnuPG) 2.4.4; Copyright (C) 2024 g10 Code GmbH
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

秘密鍵が利用できます。

sec  ed25519/21FD7CE9BC554D13
     作成: 2025-03-30  有効期限: 2030-04-01  利用法: C
     信用: 究極        有効性: 究極
ssb  ed25519/74DCA828DC07B24C
     作成: 2025-03-30  有効期限: 2030-04-01  利用法: S
ssb  cv25519/0E25614837E634DC
     作成: 2025-03-30  有効期限: 2030-04-01  利用法: E
[  究極  ] (1). Spiegel (main) <spiegel@example.com>
[  究極  ] (2)  [jpeg image of size 5707]

gpg> showpref
[  究極  ] (1). Spiegel (main) <spiegel@example.com>
     暗号方式: AES256, AES192, AES, 3DES
     AEAD: OCB
     ダイジェスト: SHA512, SHA384, SHA256, SHA224, SHA1
     圧縮: ZLIB, BZIP2, ZIP, 無圧縮
     機能: MDC, AEAD, 鍵サーバ 修正しない
[  究極  ] (2)  [jpeg image of size 5707]
     暗号方式: AES256, AES192, AES, 3DES
     AEAD: OCB
     ダイジェスト: SHA512, SHA384, SHA256, SHA224, SHA1
     圧縮: ZLIB, BZIP2, ZIP, 無圧縮
     機能: MDC, AEAD, 鍵サーバ 修正しない

ここで機能として AEAD がリストアップされている場合は (相手が AEAD を使えるなら) AEAD を暗号化に使用する。 AEAD を使わせないようにするため OCB を除くアルゴリズムを setpref コマンドで指定する。

gpg> setpref AES256 AES192 AES SHA512 SHA384 SHA256 SHA224 ZLIB BZIP2 ZIP
優先指定の一覧を設定:
     暗号方式: AES256, AES192, AES, 3DES
     AEAD:
     ダイジェスト: SHA512, SHA384, SHA256, SHA224, SHA1
     圧縮: ZLIB, BZIP2, ZIP, 無圧縮
     機能: MDC, 鍵サーバ 修正しない
優先指定を本当に更新しますか? (y/N) y

sec  ed25519/21FD7CE9BC554D13
     作成: 2025-03-30  有効期限: 2030-04-01  利用法: C
     信用: 究極        有効性: 究極
ssb  ed25519/74DCA828DC07B24C
     作成: 2025-03-30  有効期限: 2030-04-01  利用法: S
ssb  cv25519/0E25614837E634DC
     作成: 2025-03-30  有効期限: 2030-04-01  利用法: E
[  究極  ] (1). Spiegel (main) <spiegel@example.com>
[  究極  ] (2)  [jpeg image of size 5707]

gpg> showpref
[  究極  ] (1). Spiegel (main) <spiegel@example.com>
     暗号方式: AES256, AES192, AES, 3DES
     AEAD:
     ダイジェスト: SHA512, SHA384, SHA256, SHA224, SHA1
     圧縮: ZLIB, BZIP2, ZIP, 無圧縮
     機能: MDC, 鍵サーバ 修正しない
[  究極  ] (2)  [jpeg image of size 5707]
     暗号方式: AES256, AES192, AES, 3DES
     AEAD:
     ダイジェスト: SHA512, SHA384, SHA256, SHA224, SHA1
     圧縮: ZLIB, BZIP2, ZIP, 無圧縮
     機能: MDC, 鍵サーバ 修正しない

gpg> save

最後の耐量子コンピュータ暗号についてだが OpenPGP にせよ LibrePGP にせよ，まだドラフト段階のため（公開テスト等に参加するのでなければ）急ぐ必要はない。その辺も含め2030年頃には OpenPGP と LibrePGP の歪な状況もどうにか解決してないかなぁ，と希望を込めて2030年で有効期限を切ったのであった。

この記事の内容をもう少し整理して「OpenPGP の実装」セクションにまとめる予定（予定は未定）。

ブックマーク

参考図書

暗号化プライバシーを救った反乱者たち: スティーブン・レビー (著), 斉藤隆央 (翻訳); 紀伊國屋書店 2002-02-16; 単行本; 4314009071 (ASIN), 9784314009072 (EAN), 4314009071 (ISBN); 評価

20世紀末，暗号技術の世界で何があったのか。知りたかったらこちらを読むべし！

reviewed by Spiegel on 2015-03-09 (powered by PA-APIv5)

暗号技術入門第3版　秘密の国のアリス: 結城浩 (著); SBクリエイティブ 2015-08-25 (Release 2015-09-17); Kindle版; B015643CPE (ASIN); 評価

SHA-3 や Bitcoin/Blockchain など新しい知見や技術要素を大幅追加。暗号技術を使うだけならこれ1冊でとりあえず無問題。

reviewed by Spiegel on 2015-09-20 (powered by PA-APIv5)

主鍵から署名機能を分離することで個別に有効期限を設定したりトラブルで署名鍵が（秘密鍵漏えい等で）使えなくなったときに簡単に分離できるようになる。まぁ主鍵が使えなくなったら副鍵もまとめてアウトだけど（笑）運用する際は（オリジナルのバックアップを取った上で）主鍵の秘密鍵だけ分離して使うやりかたもある。 ↩︎
gpg --quick-generate-key でコマンドライン上でユーザID，アルゴリズム，用途，有効期限を指定できる。楕円曲線暗号の場合は楕円曲線名を指定する。 ↩︎
RFC 9580 では RSA, ElGamal, DSA は deprecated になった。多分この影響で既定から外れたのだろう。なお EdDSA は NIST FIPS 186-5 にて標準のアルゴリズムになった。これで政府調達でもなんでも大手を振って EdDSA を使える。 ↩︎
gpg --quick-add-key でコマンドライン上で副鍵のアルゴリズム，用途，有効期限を指定できる。 ↩︎

OpenPGP で利用可能なアルゴリズム（RFC 9580 対応版）

2025-03-12T08:04:54+00:00

OpenPGP の標準化について2024年7月に RFC 9580 が発行された。この記事では拙作 gpgpdump の改定作業の目的のため OpenPGP で利用可能なアルゴリズムを列挙していく。

なお RFC 9580 の発行に伴い，以前の RFC 4880, RFC 5581, RFC 6637 は obsolete になった。このブログでも前の「OpenPGP で利用可能なアルゴリズム（RFC 4880bis 対応版）」は obsolete とする。また各アルゴリズムの横に ✅ が付いているものは RFC 9580 で新たに追加されたものである。

パケットバージョン

アルゴリズムとは直接関係ないが OpenPGP では暗号文や鍵や署名といったデータのかたまりを「パケット」と呼んでいる。パケットは PGP/OpenPGP によって幾つかのバージョンがある。

現在有効なパケットバージョンの組み合わせは以下の通り。

Version of Encrypted Data Payload	Version of Preceding Symmetric Key ESK (If Any)	Version of Preceding Public Key ESK (If Any)	Generate?
SED	-	v2 PKESK (RFC 2440)	No
SED	v4 SKESK	v3 PKESK	No
v1 SEIPD	v4 SKESK	v3 PKESK	Yes
v2 SEIPD ✅	v4 SKESK	v3 PKESK	Yes

OpenPGP 暗号化メッセージのバージョン

v2 SEIPD は RFC 9580 で加わったもので認証付き暗号（AEAD）をサポートしている。

RFC 9580 では “Generate?” が Yes のパケット組み合わせのみ生成が許容される（MUST）。それ以外は後方互換性のために残される。

Signing Key Version	Signature Packet Version	One-Pass Signature Packet Version	Generate?
v3	v3	v3	No
v4	v3	v3	No
v4	v4	v3	Yes
v6 ✅	v6 ✅	v6 ✅	Yes

OpenPGP 鍵および署名のバージョン

ここにない v1 や v2 は最初期の PGP (RFC 1991) の頃のもの。さらに，ここにない v5 は RFC 4880bis の議論の頃にあったもので RFC 9580 ではなくなってしまったようだ。おそらく GnuPG には残ってると思うけど… 困ったね（笑）

v3 は RFC 2440 で， v4 は RFC 4880 で登場したもの。さらに v6 は RFC 9580 で新たに加わったものである。

RFC 9580 では “Generate?” が Yes のパケット組み合わせのみ生成が許容される（MUST）。それ以外は後方互換性のために残される。

共通鍵暗号アルゴリズム（Symmetric-Key Algorithms）

OpenPGP で利用可能な共通鍵暗号は以下の通り。 RFC 9580 で新たに追加されたアルゴリズムはない。なお「鍵長」項目の括弧内はブロック長を指す。いずれも単位は “bit” である。

ID	アルゴリズム	鍵長	参考文献
0	Plaintext or unencrypted data
1	IDEA	128 (64)	Narrow-Bicliques: Cryptanalysis of Full IDEA
2	TripleDES (or DES-EDE) with 168-bit key derived from 192	168 (64)	SP800-67 Rev.2
3	CAST5 with 128-bit key	128 (64)	RFC2144
4	Blowfish with 128-bit key, 16 rounds	128 (64)	Description of a New Variable-Length Key, 64-Bit Block Cipher (Blowfish)
5,6	(Reserved)
7	AES with 128-bit key	128 (128)	FIPS PUB 197
8	AES with 192-bit key	192 (128)
9	AES with 256-bit key	256 (128)
10	Twofish with 256-bit key	256 (128)
11	Camellia with 128-bit key	128 (128)	RFC3713
12	Camellia with 192-bit key	192 (128)
13	Camellia with 256-bit key	256 (128)
100-110	Private/Experimental algorithm
253-255	(Reserved to avoid collision with Secret Key Encryption)

OpenPGP で使用可能な共通鍵暗号アルゴリズム一覧

ID は OpenPGP で定義されるもので “sym 1” のように表記する。

AES-128 (sym 7) が “MUST implement” で AES-256 (sym 9) が “SHOULD implement” となった
後方互換性のために IDEA, TripleDES, CAST5 による復号を行ってもよい（MAY）が機密性の漏洩が疑われる非推奨のアルゴリズムであることを警告すべき（SHOULD）

ちなみに sym 11 から sym 13 の Camellia 暗号は日本製である。

RFC 9580 では共通鍵暗号を使った暗号化について，従来からある CFB モード¹ に加えて認証付き暗号の暗号モードを使用できる。

認証付き暗号の暗号モード（AEAD Algorithms）

RFC 9580 で追加された認証付き暗号（Authenticated Encryption with Associated Data; AEAD）について利用可能な暗号モードは以下の通り。

ID	暗号モード	参考文献
1	EAX	✅	EAX: A Conventional Authenticated-Encryption Mode
2	OCB	✅	RFC 7253
3	GCM	✅	SP800-38D
100-110	Private/Experimental algorithm

OpenPGP で使用可能な認証付き暗号アルゴリズム一覧

RFC 9580 では OCB が “MUST implement” となる。

公開鍵暗号・署名アルゴリズム（Public-Key Algorithms）

OpenPGP で利用可能な公開鍵暗号・署名は以下の通り。

ID	アルゴリズム	参考文献
1	RSA (Encrypt or Sign)		FIPS PUB 186-5
2	RSA Encrypt-Only
3	RSA Sign-Only
4-15	(Reserved)
16	Elgamal (Encrypt-Only)		A public key cryptosystem and a signature scheme based on discrete logarithms
17	DSA		FIPS PUB 186-4
18	ECDH public key algorithm		SP800-56A Revision 3
19	ECDSA public key algorithm		RFC 6090, FIPS PUB 186-5, SEC 1: Elliptic Curve Cryptography
20	(Reserved; formerly Elgamal Encrypt or Sign)
21	(Reserved for Diffie-Hellman (X9.42, as defined for IETF-S/MIME))
22	EdDSALegacy (deprecated)	✅	(Ed25519 を参照のこと)
23	(Reserved for AEDH)
24	(Reserved for AEDSA)
25	X25519	✅	RFC 7748, FIPS PUB 186-5
26	X448	✅
27	Ed25519	✅	RFC 8032, FIPS PUB 186-5
28	Ed448	✅
100-110	Private/Experimental algorithm

OpenPGP で使用可能な公開鍵暗号・署名アルゴリズム一覧

ID は OpenPGP で定義されるもので “pub 1” のように表記する。

RSA (pub 1,2,3), Elgamal (16), DSA (17) は非推奨 (deprecated) となった。更に暗号化専用および署名専用の RSA (pub 2,3) と Elgamal (16), DSA (17) の鍵は新たな生成が禁止になった（MUST NOT）。ただし RFC 4880 では Elgamal (16) と DSA (17) の実装が MUST なので，後方互換性を確保するのであれば，これらを実装する必要がある
X25519 (pub 25) および Ed25519 (pub 27) の実装が MUST になった
X448 (pub 26) および Ed448 (pub 28) の実装が MUST になった
EdDSALegacy (pub 22) は RFC 4880bis の頃に定義されたが，最終的に Ed25519 (pub 27) に置き換えられた。おそらく v4 鍵および署名パケットに対応するために残されているが非推奨（deprecated）になっている。新たに EdDSA 鍵を生成するなら Ed25519 (pub 27) または Ed448 (pub 28) を選択すべき
ElGamal Encrypt or Sign (pub 20) は，元々暗号化と署名の両方できるものだったが，脆弱性が見つかったため OpenPGP では使用禁止になった²

余談だが，現在対量子コンピュータ暗号を OpenPGP に組み込む議論が行われている。興味がある方はそちらもどうぞ。

楕円曲線（ECC Curves for OpenPGP）

前節で挙げた楕円曲線暗号（Elliptic Curve Cryptography; ECC）アルゴリズムに対して RFC 9580 で利用可能な楕円曲線（Elliptic Curve）は以下の通り。なお「鍵長」の単位はオクテット（byte）である。

楕円曲線名	適用アルゴリズム	鍵長
NIST P-256		ECDSA, ECDH	32	SP800-56A Revision 3, FIPS PUB 186-5
NIST P-384		ECDSA, ECDH	48
NIST P-521		ECDSA, ECDH	66
brainpoolP256r1	✅	ECDSA, ECDH	32	RFC 5639
brainpoolP384r1	✅	ECDSA, ECDH	48
brainpoolP512r1	✅	ECDSA, ECDH	64
Ed25519Legacy	✅	EdDSALegacy (EdDSA)	32	RFC8032, FIPS PUB 186-5
Ed25519	✅	Ed25519 (EdDSA)	32
Ed448	✅	Ed448 (EdDSA)	57
Curve25519Legacy	✅	ECDH	32	RFC7748
X25519	✅	X25519 (ECDH)	32
X448	✅	X448 (ECDH)	56

OpenPGP で使用可能な楕円曲線一覧

Ed25519Legacy と Ed25519 は同じ楕円曲線で Ed448 と併せて RFC 8032 EdDSA アルゴリズムで用いる（ECDSA では使えない）
Curve25519Legacy と X25519 は同じ楕円曲線で X448 と併せて RFC 7748 で規定されている。これらの楕円曲線を使った ECDH 鍵は同じサイズの EdDSA 鍵と組み合わせて使う
Ed25519, Ed448, X25519, X448 以外の楕円曲線は Curve OID で管理される。 Ed25519, Ed448, X25519, X448 については同名のアルゴリズム ID と紐付いているため Curve OID による管理外となる
Ed25519Legacy は同名のアルゴリズム ID で用いる。また v4 鍵および署名パケットでのみ使用可能。 v6 パケットの場合は Ed25519 を用いる
Curve25519Legacy は ECDH アルゴリズムかつ v4 鍵および署名パケットでのみ使用可能。 v6 パケットの場合は X25519 を用いる

具体的な実装例については「そろそろ GnuPG でも ECC を標準で使うのがいいんじゃないかな」で紹介している

ECDH 鍵導出のパラメータ（ECDH Parameters）

ECDH (pub 18) では鍵導出のためのハッシュアルゴリズムと鍵カプセル化のための共通鍵暗号アルゴリズムをパラメータとして持つ。各アルゴリズムの組み合わせは以下の通り。

Curve	Hash Algorithm	symmetric Algorithm
NIST P-256	SHA2-256	AES-128
NIST P-384	SHA2-384	AES-192
NIST P-521	SHA2-512	AES-256
brainpoolP256r1	SHA2-256	AES-128
brainpoolP384r1	SHA2-384	AES-192
brainpoolP512r1	SHA2-512	AES-256
Curve25519Legacy	SHA2-256	AES-128

ECDH KDF/KEK パラメータ

v6 鍵パケットの場合，上のアルゴリズムの組み合わせを使用しなければならない（MUST）
v4 鍵パケットの場合，上のアルゴリズムの組み合わせを使用すべき（SHOULD）

一方向ハッシュ関数アルゴリズム（Hash Algorithms）

OpenPGP で利用可能なハッシュ関数は以下の通り。 RFC 9580 で新たに追加されたアルゴリズムはない。

ID	アルゴリズム	参考文献
1	MD5	RFC1321
2	SHA-1	FIPS PUB 180-4
3	RIPE-MD/160	The hash function RIPEMD-160
4-7	(Reserved)
8	SHA2-256	FIPS PUB 180-4
9	SHA2-384
10	SHA2-512
11	SHA2-224
12	SHA3-256	FIPS PUB 202
13	(Reserved)
14	SHA3-512
100-110	Private/Experimental algorithm

OpenPGP で使用可能な一方向ハッシュ関数一覧

ID は OpenPGP で定義されるもので “hash 1” のように表記する。

SHA2-256 (hash 8) が “MUST implement” となった。また SHA2-384 (hash 9), SHA2-512 (hash 10) の実装が推奨される（SHOULD）
v4 鍵および署名パケットのの鍵指紋や MDC (Modification Detection Code) を除き SHA-1 (hash 2) を必要とするメッセージを作成してはならない（SHOULD NOT）
MD5 (hash 1), SHA-1 (hash 2), RIPE-MD/160 (hash 3) を用いて署名を作成してはならない（MUST NOT）
ECDH KDF および S2K KDF のハッシュ関数として MD5 (hash 1), SHA-1 (hash 2), RIPE-MD/160 (hash 3) を用いてパケットを生成してはならない（MUST NOT）
v6 以降のパケットで S2K KDF のハッシュ関数として MD5 (hash 1), SHA-1 (hash 2), RIPE-MD/160 (hash 3) を用いて秘密鍵を復号してはならない（MUST NOT）
MD5 (hash 1), SHA-1 (hash 2), RIPE-MD/160 (hash 3) に依存する最近の署名を検証してはならない（MUST NOT）
MD5 (hash 1), SHA-1 (hash 2), RIPE-MD/160 (hash 3) に依存する古い署名を検証してはならない（SHOULD NOT）
- 署名の作成日が使用されたアルゴリズムの既知の脆弱性が発見された日より前で，メッセージが常に安全な管理下にあったと確信できる場合は除く

鍵指紋作成で使われるハッシュ関数アルゴリズム（Fingerprints）

鍵指紋作成で使われるハッシュ関数アルゴリズムは以下の通り。

Key Version	Fingerprint Algorithm
v3	MD5
v4	SHA1
v6 ✅	SHA256

鍵指紋作成で使われるハッシュ関数アルゴリズム

その他のアルゴリズム

S2K (String-to-Key)

S2K はパスフレーズからセッション鍵を生成するためのハッシュ化の手順である。

ID	S2K タイプ	参考文献
0	Simple S2K
1	Salted S2K
2	Reserved value
3	Iterated and Salted S2K
4	Argon2	✅	RFC 9106
100-110	Private/Experimental S2K

OpenPGP で使用可能な S2K アルゴリズム一覧

ID は OpenPGP で定義されるもので “s2k 1” のように表記する。 Simple S2K (s2k 0) と Reserved value (s2k 2) は下位互換のために残されているもので，新たに暗号データや電子署名を作成する際に使用すべきではない。

OpenPGP では，パスフレーズ自体はいかなる形（ハッシュ値を含む）でも保存しない。このため，パスフレーズを紛失してしまった場合は復元できない³。

データ圧縮（Compression Algorithms）

暗号化メッセージや電子署名を圧縮するためのアルゴリズムである。 RFC 9580 で新たに追加されたアルゴリズムはない。

ID	アルゴリズム	参考文献
0	Uncompressed
1	ZIP	RFC1951
2	ZLIB	RFC1950
3	BZip2	bzip2
100-110	Private/Experimental algorithm

OpenPGP で使用可能なデータ圧縮アルゴリズム一覧

ID は OpenPGP で定義されるもので “comp 1” のように表記する。

非圧縮（comp 0）は “MUST implement” である
ZLIB (comp 2) は “SHOULD implement” となっていて， ZIP (comp 1) については “SHOULD be able to decompress using” と復号時の後方互換性のみ確保されていればいいようだ

乱数生成器（Random Number Generator）

基本的に getrandom() システムコールのような OS が標準で提供している暗号学的に安全な疑似乱数生成器（CSPRNG）を使うべき，とある。もしそれらが使えない（信用できない）場合でも，新しいものを自作するのではなく RFC 4086 を参照して実装すべきと書かれている。

ブックマーク

参考図書

暗号化プライバシーを救った反乱者たち: スティーブン・レビー (著), 斉藤隆央 (翻訳); 紀伊國屋書店 2002-02-16; 単行本; 4314009071 (ASIN), 9784314009072 (EAN), 4314009071 (ISBN); 評価

20世紀末，暗号技術の世界で何があったのか。知りたかったらこちらを読むべし！

reviewed by Spiegel on 2015-03-09 (powered by PA-APIv5)

PGP―暗号メールと電子署名: シムソンガーフィンケル (著), Garfinkel,Simson (原著), ユニテック (翻訳); オライリー・ジャパン 1996-04-01; 単行本; 4900900028 (ASIN), 9784900900028 (EAN), 4900900028 (ISBN); 評価

良書なのだが，残念ながら内容が古すぎた。 PGP の歴史資料として読むならいいかもしれない。

reviewed by Spiegel on 2014-10-16 (powered by PA-APIv5)

暗号技術入門第3版　秘密の国のアリス: 結城浩 (著); SBクリエイティブ 2015-08-25 (Release 2015-09-17); Kindle版; B015643CPE (ASIN); 評価

SHA-3 や Bitcoin/Blockchain など新しい知見や技術要素を大幅追加。暗号技術を使うだけならこれ1冊でとりあえず無問題。

reviewed by Spiegel on 2015-09-20 (powered by PA-APIv5)

厳密には CFB モードの変形である。 ↩︎
pub 20 が禁止になった経緯については “GnuPG’s ElGamal signing keys compromised” を参照のこと。 ↩︎
ただし OpenPGP では試行回数によるロックアウトは定義されないため，無限にパスフレーズ解読を試みることができる。 ↩︎

公開テスト用の GnuPG v2.5 が登場

2024-07-14T01:29:46+00:00

少し前の話で恐縮だが，公開テスト用の GnuPG 2.5.0 が登場した。

[Announce] GnuPG 2.5.0 released for public testing

これまでと同じく v2.5 系で検証と改良を行い，安定版として v2.6 系がリリースされる流れだと思う。

現行の v2.4 系との差異は以下の通り。

[compared to version 2.4.5]

gpg: Support composite Kyber+ECC public key algorithms. This is experimental due to the yet outstanding FIPS-203 specification. [T6815]

gpg: Allow algo string “pqc” for --quick-gen-key. [rG12ac129a70]

gpg: New option --show-only-session-key. [rG1695cf267e]

gpg: Print designated revokers also in non-colon listing mode. [rG9d618d1273]

gpg: Make --with-sig-check work with --show-key in non-colon listing mode. [rG0c34edc443]

tpm: Rework error handling and fix key import [T7129, T7186]

Varous fixes to improve robustness on 64 bit Windows. [T7139]

Changes which will also show up in the firthcoming 2.4.6:

gpg: New command --quick-set-ownertrust. [rG967678d972]

gpg: Indicate disabled keys in key listings and add list option “show-ownertrust”. [rG2a0a706eb2]

gpg: Make sure a DECRYPTION_OKAY is never issued for a bad OCB tag. [T7042]

gpg: Do not allow to accidently set the RENC usage. [T7072]

gpg: Accept armored files without CRC24 checksum. [T7071]

gpg: New --import-option “only-pubkeys”. [T7146]

gpg: Repurpose the AKL mechanism “ldap” to work like the keyserver mechnism but only for LDAP keyservers. [rG068ebb6f1e]

gpg: ADSKs are now configurable for new keys. [T6882]

gpgsm: Emit user IDs with an empty Subject also in colon mode. [T7171]

agent: Consider an empty pattern file as valid. [rGc27534de95]

agent: Fix error handling of READKEY. [T6012]

agent: Avoid random errors when storing key in ephemeral mode. [T7129, rGfdc5003956]

agent: Make “SCD DEVINFO --watch” more robust. [T7151]

scd: Improve KDF data object handling for OpenPGP cards. [T7058]

scd: Avoid buffer overrun with more than 16 PC/SC readers. [T7129, rG4c1b007035]

scd: Fix how the scdaemon on its pipe connection finishes. [T7160]

gpgconf: Check readability of some files with -X and change its output format. [rG98e287ba6d]

gpg-mail-tube: New tool to apply PGP/MIME encryption to a mail. [rG28a080bc9f]

Fix some uninitialized variables and double frees in error code paths. [T7129]

via [Announce] GnuPG 2.5.0 released for public testing

v2.6 系が出るまでは現行の v2.4 系が安定版としてメンテナンスされる筈なので，しばらくは現状の v2.4 系のままでも大丈夫。

参考図書

暗号化プライバシーを救った反乱者たち: スティーブン・レビー (著), 斉藤隆央 (翻訳); 紀伊國屋書店 2002-02-16; 単行本; 4314009071 (ASIN), 9784314009072 (EAN), 4314009071 (ISBN); 評価

20世紀末，暗号技術の世界で何があったのか。知りたかったらこちらを読むべし！

reviewed by Spiegel on 2015-03-09 (powered by PA-APIv5)

暗号技術入門第3版　秘密の国のアリス: 結城浩 (著); SBクリエイティブ 2015-08-25 (Release 2015-09-17); Kindle版; B015643CPE (ASIN); 評価

SHA-3 や Bitcoin/Blockchain など新しい知見や技術要素を大幅追加。暗号技術を使うだけならこれ1冊でとりあえず無問題。

reviewed by Spiegel on 2015-09-20 (powered by PA-APIv5)

OpenPGP 公開鍵の期限を延長した

2024-03-24T03:04:44+00:00

3年前に「来年からまた短期の運用に戻す」と言ったのに未だに有言不実行。今年も現行鍵の有効期限を 2025-04-01 まで延長するに留めた。

更新した公開鍵は以下の URI からインポートできる（既にインポート済みの場合は上書き更新される）。

$ gpg --fetch-keys https://baldanders.info/pubkeys/spiegel.asc

または

$ gpg --fetch-keys https://github.com/spiegel-im-spiegel.gpg

拙作の gpgpdump を使えばインポートする前に公開鍵の内容をチェックできる。

$ gpgpdump fetch https://baldanders.info/pubkeys/spiegel.asc

または

$ gpgpdump fetch https://github.com/spiegel-im-spiegel.gpg

いや Ubuntu が GnuPG 2.4 系にアップデートしてくれないので待ち状態なのよ。いきなり自前で最新版をインストールするのは怖いので，仮想環境か何かで動作確認をしないといけないのだが，これも遅々として進まず。 2024年末で 2.2 系はサポートから外れるんだけどねぇ。

最近は OpenPGP 鍵の短期運用は，期限切れの鍵が増えるだけで，あまり意味がない気がしてきた。サーバを運用しているならともかく， OpenPGP 鍵を Yubikey とかのデバイスに入れるのもあまり意味がない気がするんだよな。私は基本的にノート PC を忌避してるし。

まぁ，どのみち OpenPGP 鍵は ECC にしたいので，いつかは入れ替えなきゃいけないけどね。それもこれも GnuPG 2.4 系の環境が整ってからだ！

…というわけで，もうしばらくはグズってます。

ブックマーク

参考図書

暗号化プライバシーを救った反乱者たち: スティーブン・レビー (著), 斉藤隆央 (翻訳); 紀伊國屋書店 2002-02-16; 単行本; 4314009071 (ASIN), 9784314009072 (EAN), 4314009071 (ISBN); 評価

20世紀末，暗号技術の世界で何があったのか。知りたかったらこちらを読むべし！

reviewed by Spiegel on 2015-03-09 (powered by PA-APIv5)

暗号技術入門第3版　秘密の国のアリス: 結城浩 (著); SBクリエイティブ 2015-08-25 (Release 2015-09-17); Kindle版; B015643CPE (ASIN); 評価

SHA-3 や Bitcoin/Blockchain など新しい知見や技術要素を大幅追加。暗号技術を使うだけならこれ1冊でとりあえず無問題。

reviewed by Spiegel on 2015-09-20 (powered by PA-APIv5)

科学2024年3月号［雑誌］: 岩波書店『科学』編集部 (編集); 岩波書店 2024-02-22 (Release 2024-03-01); Kindle版; B0CW1DZS1W (ASIN); 評価

この号の特集は「現代暗号の展開と応用」。耐量子計算機暗号や格子暗号といった今どきなキーワードも出てくる。

reviewed by Spiegel on 2024-03-01 (powered by PA-APIv5)

GnuPG 2.4.4 / 2.4.5 のリリース【セキュリティ・アップデートを含む】

2024-03-20T02:03:46+00:00

仕事の忙しさにかまけて色々と放っぽり出してたので，少しずつ回復中。

遅まきながらであるが， 2024-01-25 に GnuPG 2.4.4 がリリースされた。さらに先日 2024-03-12 に 2.4.5 がリリースされている。

詳細については割愛する。 GnuPG 2.4.4 については次節で紹介する脆弱性の修正がある。

【脆弱性】スマートカード生成時に保護されていないバックアップ鍵が PC 上に残る

GnuPG 2.4.4 より前の一部のバージョンでスマートカード生成時に保護されていないバックアップ鍵が PC 上に残る脆弱性があるらしい。

The standard way to generate keys on a smartcard with GnuPG is to create the encryption subkey with gpg and to move this key to the smartcard. A password protected backup file named sk_<keyid>.gpg is also created so that in the case of a lost or broken smartcard, the key can be restored to a new smartcard to allow decryption of existing data. Unfortunately with some versions of GnuPG an additional unprotected copy of the encryption subkey is also kept on disk.

All possibly affected users should check whether such an unintended copy of a smartcard key exists and delete it.

via Smartcard key generation keeps an unprotected backup key on disk

該当するバージョンは以下の通り。

Gpg4win version 4.2.0

GnuPG versions 2.4.2 and 2.4.3 iff the card generation was done with the command gpg --card-edit.

GnuPG version 2.2.42 iff the card generation was done with the command gpg --card-edit.

GnuPG VS-Desktop version 3.2.0 and 3.2.1 iff the card generation was done with the non-approved command gpg --card-edit. The documented way to create keys on OpenPGP cards and Yubikeys is not affected.

via Smartcard key generation keeps an unprotected backup key on disk

確認方法等については以下を参照のこと。

Smartcard key generation keeps an unprotected backup key on disk

GnuPG 関連パッケージ

GnuPG 関連の各パッケージのバージョンは以下の通り（数字は大体のビルド順）。

#	パッケージ名	バージョン	公開日
1	Libgpg-error	1.48	2024-02-23
2	Libgcrypt	1.8.11 (LTS)	2023-11-16
	Libgcrypt	1.10.3	2023-11-14
3	Libassuan	2.5.7	2024-03-06
4	Libksba	1.6.6	2024-02-23
5	nPth	1.7	2024-02-23
6	ntbTLS	0.3.2	2024-01-12
7	GnuPG	2.4.5	2024-03-07

ありゃ。 2.2 系のコードが一覧から消えてるな。

現在 GnuPG には 2.2 系と 2.4 系があり¹， 2.4 系では AEAD (Authenticated Encryption with Associated Data) 等 RFC 4880bis で検討されている機能が実装されている。 2.2 系は 2.4 系のサブセットという位置づけで，少なくとも2024年末まではサポートが続けられる予定である。

別記事でも書いたが，どうも Ubuntu は真面目に GnuPG のメンテナンスをやる気がないようである。なので，自前でビルドを行おうかと考えているが，遅々として進まず…

Installing GnuPG 2.4 on Ubuntu 22.04 | Pro Custodibus

ブックマーク

参考図書

暗号化プライバシーを救った反乱者たち: スティーブン・レビー (著), 斉藤隆央 (翻訳); 紀伊國屋書店 2002-02-16; 単行本; 4314009071 (ASIN), 9784314009072 (EAN), 4314009071 (ISBN); 評価

20世紀末，暗号技術の世界で何があったのか。知りたかったらこちらを読むべし！

reviewed by Spiegel on 2015-03-09 (powered by PA-APIv5)

暗号技術入門第3版　秘密の国のアリス: 結城浩 (著); SBクリエイティブ 2015-08-25 (Release 2015-09-17); Kindle版; B015643CPE (ASIN); 評価

SHA-3 や Bitcoin/Blockchain など新しい知見や技術要素を大幅追加。暗号技術を使うだけならこれ1冊でとりあえず無問題。

reviewed by Spiegel on 2015-09-20 (powered by PA-APIv5)

科学2024年3月号［雑誌］: 岩波書店『科学』編集部 (編集); 岩波書店 2024-02-22 (Release 2024-03-01); Kindle版; B0CW1DZS1W (ASIN); 評価

この号の特集は「現代暗号の展開と応用」。耐量子計算機暗号や格子暗号といった今どきなキーワードも出てくる。

reviewed by Spiegel on 2024-03-01 (powered by PA-APIv5)

厳密には1.4系もあるが，これは legacy 版と位置付けられており，よほどのバグか脆弱性がない限りは更新されない。もし今だに1.4系（あるいは既にサポートされていない2.0/2.1系）を使っているのなら2.4系以降にアップグレードすることを強くお勧めする。 ↩︎

GnuPG 2.4.3 のリリース

2023-07-05T10:42:04+00:00

GnuPG 2.4.3 がリリースされた。

Mastodon でもアナウンスがあった。

脆弱性の修正はなし。その他の改修ポイントは以下の通り。

gpg: Set default expiration date to 3 years. [T2701]

gpg: Add --list-filter properties "key_expires" and "key_expires_d". [T6529]

gpg: Emit status line and proper diagnostics for write errors. [T6528]

gpg: Make progress work for large files on Windows. [T6534]

gpg: New option --no-compress as alias for -z0.

gpgsm: Print PROGRESS status lines. Add new --input-size-hint. [T6534]

gpgsm: Support SENDCERT_SKI for --call-dirmngr. [rG701a8b30f0]

gpgsm: Major rewrite of the PKCS#12 parser. [T6536]

gpgtar: New option --no-compress.

dirmngr: Extend the AD_QUERY command. [rG207c99567c]

dirmngr: Disable the HTTP redirect rewriting. [T6477]

dirmngr: New option --compatibility-flags. [rGbf04b07327]

dirmngr: New option --ignore-crl-extensions. [T6545]

wkd: Use export-clean for gpg-wks-client’s --mirror and --create commands. [rG2c7f7a5a27]

wkd: Make --add-revocs the default in gpg-wks-client. New option --no-add-revocs. [rG10c937ee68]

scd: Make signing work for Nexus cards. [rGb83d86b988]

scd: Fix authentication with Administration Key for PIV. [rG25b59cf6ce]

Release-info: https://dev.gnupg.org/T6509

via GnuPG 2.4.3 released

GnuPG 関連パッケージ

GnuPG 関連の各パッケージのバージョンは以下の通り（数字は大体のビルド順）。

#	パッケージ名	バージョン	公開日
1	Libgpg-error	1.47	2023-04-06
2	Libgcrypt	1.8.10 (LTS)	2023-01-05
	Libgcrypt	1.10.2	2023-04-06
3	Libassuan	2.5.6	2023-06-19
4	Libksba	1.6.4	2023-06-19
5	nPth	1.6	2018-07-16
6	ntbTLS	0.3.1	2022-04-07
7	GnuPG	2.2.41 (LTS)	2022-12-09
	GnuPG	2.4.3	2023-07-04

別記事でも書いたが，どうも Ubuntu は真面目に GnuPG のメンテナンスをやる気がないようである。なので，近々自前でビルドを行おうかと考えているが，遅々として進まず…

Installing GnuPG 2.4 on Ubuntu 22.04 | Pro Custodibus

ブックマーク

参考図書

暗号化プライバシーを救った反乱者たち: スティーブン・レビー (著), 斉藤隆央 (翻訳); 紀伊國屋書店 2002-02-16; 単行本; 4314009071 (ASIN), 9784314009072 (EAN), 4314009071 (ISBN); 評価

20世紀末，暗号技術の世界で何があったのか。知りたかったらこちらを読むべし！

reviewed by Spiegel on 2015-03-09 (powered by PA-APIv5)

暗号技術入門第3版　秘密の国のアリス: 結城浩 (著); SBクリエイティブ 2015-08-25 (Release 2015-09-17); Kindle版; B015643CPE (ASIN); 評価

SHA-3 や Bitcoin/Blockchain など新しい知見や技術要素を大幅追加。暗号技術を使うだけならこれ1冊でとりあえず無問題。

reviewed by Spiegel on 2015-09-20 (powered by PA-APIv5)

厳密には1.4系もあるが，これは legacy 版と位置付けられており，よほどのバグか脆弱性がない限りは更新されない。もし今だに1.4系（あるいは既にサポートされていない2.0/2.1系）を使っているのなら2.2系以降にアップグレードすることを強くお勧めする。 ↩︎