28 января была обнаружена 0-day уязвимость в криптографической библиотеке libgcrypt неким Tavis Ormandy из Project Zero (группа специалистов безопасности в Google, которые ищут 0-day уязвимости).

Уязвимости подвержена только версия 1.9.0 (ныне переименованная на апстримном ftp-сервере, чтобы избежать случайного скачивания). Из-за неверных предположений в коде возможно переполнение буфера, потенциально приводящее к удалённому выполнению кода. Переполнение может произойти в ходе расшифровки данных до этапа верификации и проверки подписи, что упрощает эксплуатацию.

Версия 1.9.1 с исправлением была выпущена на следующий день после сообщения об уязвимости. Баг появился в результате неудачной оптимизации функции записи хеша почти 2 года назад.

>>> Подробности

Использование Gpg4KDE и GPG4win для шифрования сообщений уровня «Только для служебного пользования» (VS-NfD) (что соответствует EU RESTRICTED и NATO RESTRICTED) одобрено федеральным ведомством национальной безопасности Германии. Теперь можно использовать KMail для пересылки сообщений зашифрованных Kleopatra на официальном уровне.

Источник

>>> Подробности

Это инструмент, который подскажет, когда YubiKey находится в режиме ожидания прикосновения пользователя для авторизации. Интегрируется с UI для отображения индикатора.

YubiKey может протребовать физическое прикосновение для подтверждения следующих операций:

• команда sudo (через pam-u2f)
• gpg --sign
• gpg --decrypt
• ssh до удаленного хоста (и связанные команды, вроде scp, rsync и т.д.)
• ssh с одного удаленного хоста до другого (через ssh-agent)

С этим инструментом уже интегрированы py3status и barista.

>>> Подробности

Состоялся релиз GnuPG 2.2.16, открытого и свободного инструмента для шифрования данных.

Основные изменения:

• gpg: добавлена опция --delete-key, позволяющая удалить вторичные ключи (subkeys).
• gpg: при обновлении собственных цифровых подписей с помощью опций --quick-set-expire или --quick-set-primary-uid производится замена хэшей SHA-1 на SHA-256.
• gpg: улучшен выбор программы для просмотра изображений.
• gpg: исправлена расшифровка с опцией --use-embedded-filename.
• gpg: удалены подсказки при использовании опции --keyserver.
• gpg: исправлен экспорт приватных ключей с комментариями.
• gpg: теперь при использовании опции --quick-gen-key слишком длинные идентификаторы пользователя отклоняются.
• gpg: возможность использования AES-192 вместе с SHA-384 для соответствия требованиям спецификации RFC-6637.
• gpgsm: избежание путаницы во время диагностики при подписи ключом по умолчанию.
• agent: при использовании опции --dry-run приватный ключ больше не удаляется.
• agent: сконфигурирована остановка демона scdaemon после перезагрузки с помощью disable-scdaemon.
• dirmngr: улучшен алгоритм кэширования для доменов WKD.
• dirmngr: поддержка нескольких алгоритмов хэширования для OCSP, а не только SHA-1.
• gpgconf: опция --homedir теперь совместима с --launch.
• gpgconf: перед запуском опции --launch теперь происходит проверка на валидность конфигурационного файла.
• wkd: добавлено ограничение на импорт ключей (не более 5) с одного адреса WKD.
• wkd: теперь принимает ключи, которые хранятся в каталоге в защищенном виде.
• В инсталляторах для Windows добавлена цифровая подпись.

>>> Подробности

Тихо и незаметно, вышел первый релиз GnuPG «новой» ветки с поддержкой алгоритмов шифрования на основе ed21559. Новый алгоритм начнёт работать только с libgcrypt 1.7. Также есть общее улучшение поддержки криптографии на эллиптических кривых и другие исправления ошибок.

>>> Подробности в списке рассылки

Спустя восемь лет с момента выпуска GnuPG 2.0 представлен релиз новой значительной ветки инструментария GnuPG 2.1.0 (GNU Privacy Guard), совместимого со стандартами OpenPGP (RFC-4880) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей.

GnuPG 2.1.0 позиционируется как первый выпуск новой кодовой базы, включающей самые свежие разработки. GnuPG 2.0 рассматривается как стабильная ветка, оптимальная для повсеместного использования. GnuPG 1.4 отнесен в разряд классических версий, потребляющей минимальные ресурсы и подходящей для встраиваемых систем. Ветка 2.1 не может быть установлена одновременно с 2.0. Ветка 1.4 может применяться одновременно с выпусками 2.1 или 2.0.

Особенности GnuPG 2.1:

• Поддержка шифрования по эллиптическим кривым (ECC, Elliptic Curve Cryptography). Поддерживаются NIST P-256/P-384/P-521 и Brainpool P-256/P-384/P-512. По умолчанию применяется алгоритм Curve 25519 и схема цифровой подписи с открытым ключом Ed25519, разработанная Дэниэлом Бернштейном.
• Прекращение поддержки устаревших ключей PGP2, не отвечающих современным требованиям к безопасности из-за использования хэшей MD5.
• Прекращено использование файла «secring.gpg» для хранения закрытых ключей. Доступ к закрытым ключам теперь возможен только через gpg-agent, который хранит ключи в директории private-keys-v1.d. Напрямую gpg к закрытым ключам отныне обращаться не может. Добавлена поддержка слияния закрытых ключей.
• Задействован новый формат для локального хранения публичных ключей, обеспечивающий большой прирост производительности для больших таблиц ключей (keyring).
• Упрощён штатный интерфейс генерации ключей (gpg2 --gen-key), который стал более прост для генерации подходящих ключей начинающими пользователями. Для создания ключей теперь можно ввести только имя и email.
• Добавлены команды для создания и подписания ключей из командной строки без дополнительных запросов ввода параметров (например, «gpg2 --batch --quick-gen-key 'Vasyliy Pupkin vasia@example.org' или „gpg2 --quick-sign-key '15CA 723E 2030 A1A8 2505 F3B7 CC10 B501 BD19 AC1C'“).
• В Pinentry обеспечена возможность показа полей ввода нового пароля и его подтверждения в одном диалоге.
• Пользователь избавлен от необходимости ручного запуска gpg-agent, который теперь вызывается автоматически из других частей GnuPG.
• Обновлена поддержка смарткарт, добавлена поддержка новых устройств чтения и типов токенов.
• Улучшена обработка пулов серверов ключей (keyserver), используемых для балансировки нагрузки. Кроме распределения запросов на основе DNS в новой версии представлен процесс dirmngr, распределяющий запросы с учётом возможного выхода из строя отдельных серверов (если сервер не отвечает, выбирается другой сервер).
• По умолчанию теперь для всех пар ключей создаётся отзывающий сертификат (revocation certificate).
• Обеспечена возможность использования gpg-agent на платформе Windows в качестве замены Pageant для Putty.
• Улучшен процесс создания сертификатов X.509. Обеспечена возможность экспорта сертификатов X.509 в форматы PKCS#8 и PEM для использования на серверах TLS.

>>> Источник

gpgpwd — это терминальный менеджер паролей. Он хранит список паролей в зашифрованном файле с помощью GnuPG, и позволяет легко извлекать, изменять и добавлять в этот файл новые пароли по мере необходимости. Также программа умеет генерировать случайные пароли.

gpgpwd может использовать Git, чтобы синхронизировать свои пароли между различными машинами.

Изменения версии 0.3:

• Добавлен параметр --all для поиска всех возможных совпадений.
• Добавлен вывод информации на экран при вводе неправильной команды.
• Убраны некоторые предупреждения при шифровании с помощью gpg, когда gpg является символической ссылкой на gpg2
• Добавлена функция отключения сжатия gpg.

Список изменений

>>> Сайт

Asheesh Laroia разработал инструмент, позволяющий сгенерировать пару совместимых с GnuPG 4096-битных RSA-ключей с наперед заданным коротким (32-битным) идентификатором. Полный отпечаток ключа не совпадает. Процедура занимает три часа на старом ноутбуке. В отличие от старых атак на короткие ID ключей, новая атака создает RSA-ключи с общеупотребительной длиной и произвольным наперед заданным именем владельца.

Исходный код инструмента в открытый доступ не выложен, поскольку это привело бы к наводнению серверов «полудубликатами» ключей влиятельных людей.

Попутно в программе GnuPG обнаружен баг, приводящий к использованию только короткого ID вместо более полного отпечатка (если он известен) при запросе ключа с сервера. Пример: gpg --keyserver pgp.mit.edu --recv-key 0xEC4B033C70096AD1 получает еще и ключ 0x37E1C17570096AD1. При редактировании ключей или проверке подписей, аналогичного бага нет. Планов по выпуску исправленной версии тоже нет.

>>> Подробности

В серии статей рассматривается работа в GNOME с электронными ключами и шифрованием данных с точки зрения «рядового» пользователя.

Что такое GNOME Keyring

Seahorse. Обзор, установка, создание ключей

Seahorse и SSH

Seahorse. Шифрование файлов из Nautilus

gEdit. Шифруем, не отходя от кассы

>>>

В ноябре 2009 года, в Шведском городе Гётеборг, прошла встреча GNU-хакеров, спонсируемая Free Software Foundation и Free Software Foundation Europe. Некоторые из докладов были отсняты на видео и теперь доступны для просмотра всем желающим:

• «Modularity and Extensibility» - Bruno Haible
• «Improving Savannah» - Sylvain Beucler
• «Advanced GPG topics» -Werner Koch
• «GNU Quality Assurance Project» - Simon Josefsson
• «The Nix Package Manager» - Eelco Dolstra
• «GNU Smalltalk» - Paolo Bonzini
• «Recent Developments in GNU Guile» (including Guile/Emacs integration) - Andy Wingo

>>> Подробности

11-13 ноября состоится встреча хакеров GNU (мейнтейнеров и активных участников GNU-проектов) в Готенбурге (Швеция) в университете информационных технологий 11-13 ноября и продолжится 14-15 ноября совместно с FSCONS (Free Society Conference and Nordic Summit).

Последняя дата регистрации с помощью онлайн-формы была 2 октября, но если сильно хочется, то можно связаться с организаторами и договориться. Тема встречи — дальнейшее улучшение и развитие системы GNU. Организаторы поддерживают темы:

• новые исследования свободному ПО и системе GNU,
• цели на будущее,
• предложения по реорганизации.

Темы обсуждений/докладов:

• «Advanced GPG topics - Design goals, gpg-agent, the smartcard framework, and X.509/CMS» - Werner Koch (Thursday/Friday)
• «GNU Smalltalk» - Paolo Bonzini (Friday)
• «GNU TLS» / «GNU Quality Assurance Project» - Simon Josefsson (Thursday/Friday)
• «The GNU Project - past, present and future: organisation, philosophy and technical goals» - José Marchesi.
• «Recent and future developments in autotools» - Ralf Wildenhues
• «Modularity and Extensibility» - Bruno Haible
• «Recent Developments in GNU Guile» (including Guile/Emacs integration) - Andy Wingo
• «Improving Savannah» - Sylvain Beucler
• «The Nix Package Manager» - Eelco Dolstra Automated build systems and Source Installer - Claudio Fontana (Informal demonstration and discussion session)
• «Linux Libre» - Ali Gündüz - TBC
• ...

Выделено время для быстрых докладов по пять минут.

>>> Подробности (англ)

Французская организация CETRIL, проводящая ежегодный конкурс свободного ПО, начала публикацию результатов отборочных туров и имен первых финалистов. Ими стали:

• http://www.inquisitor.ru/ - открытая платформа для проведения нагрузочного и бенчмаркового тестирования (доступная в сборках на ALT Linux и Debian и распространяющаяся на Live CD или загружающаяся по сети).
• http://www.ksplice.com/ - патч и набор userspace утилит для применения патчей к ядру Linux «на лету».
• http://enigform.mozdev.org - модуль Apache и расширение Mozilla для шифрования http-трафика с помощью GPG.

Финал конкурса будет проводиться во Франции 5-6 июня 2009. Все финалисты встретятся там с жюри и предоставят свои презентации проектов, рассказы, ответят на вопросы и разделят призы.

>>> Подробности

Сегодня Web-приложения предоставляют множество возможностей для обмена файлами, совместного доступа и работы. Хотя некоторые из этих приложений поддерживают шифрование пользовательской информации, таких программ – меньшинство. В этой статье обсуждаются средства и программный код, необходимые для поддержки базового шифрования в одном из наиболее популярных онлайновых органайзеров. В статье рассказано, как благодаря удивительной гибкости расширений Firefox и Gnu Privacy Guard можно хранить события Календаря Google зашифрованными, отображая их в виде простого текста только обладателям соответствующих ключей шифрования.

>>> Подробности