Anzeigen der neuesten Beiträge
0 Mitglieder und 1 Gast betrachten dieses Thema.
Das im GnuPG-Pack 13.8.3 enthaltene GnuPG-SpecialBuild aktualisiert die voreingestellten Schlüssellängen bei einer Ausführung von GnuPG im Batch-Mode (ElGamal/DSA: 2048, RSA: 3072 Bit).
Mit dem Pack 13.8.4 wird im GnuPG-SpecialBuild je eine Korrektur in GnuPG und im zusätzlichen Hash-Algorithmus WHIRLPOOL eingepflegt.
Das Pack 13.9.1 bringt ein paar Verbesserungen bei der Integration der enthaltenen Mozilla Thunderbird-, Firefox- bzw. SeaMonkey-Addons.
Version 13.9.2 des GnuPG-Packs pflegt eine Korrektur des GnuPG-Quelltextes ("Fix bug with deeply nested compressed packets") sowie eine Optimierung im WHIRLPOOL-Algorithmus' ein.
What's New in 2.0.22==================== * Fixed possible infinite recursion in the compressed packet parser. [CVE-2013-4402] * Improved support for some card readers. * Prepared building with the forthcoming Libgcrypt 1.6. * Protect against rogue keyservers sending secret keys.Impact of the security problem==============================Special crafted input data may be used to cause a denial of serviceagainst GPG (GnuPG's OpenPGP part) and some other OpenPGPimplementations. All systems using GPG to process incoming data areaffected.Taylor R. Campbell invented a neat trick to generate OpenPGP packagesto force GPG to recursively parse certain parts of OpenPGP messages adinfinitum. As a workaround a tight "ulimit -v" setting may be used tomitigate the problem. Sample input data to trigger this problem hasnot yet been seen in the wild. Details of the attack will eventuallybe published by its inventor.A fixed release of the GnuPG 1.4 series has also been released.An updated vesion of gpg4win will be released next week.Getting the Software====================Please follow the instructions found at http://www.gnupg.org/download/or read on:GnuPG 2.0.22 may be downloaded from one of the GnuPG mirror sites ordirect from ftp://ftp.gnupg.org/gcrypt/gnupg/ . The list of mirrorscan be found at http://www.gnupg.org/mirrors.html . Note, that GnuPGis not available at ftp.gnu.org.On the FTP server and its mirrors you should find the following filesin the gnupg/ directory: gnupg-2.0.22.tar.bz2 (4200k) gnupg-2.0.22.tar.bz2.sig GnuPG source compressed using BZIP2 and OpenPGP signature. gnupg-2.0.20-2.0.22.diff.bz2 (39k) A patch file to upgrade a 2.0.20 GnuPG source tree. This patch does not include updates of the language files.Note, that we don't distribute gzip compressed tarballs for GnuPG-2.Checking the Integrity======================In order to check that the version of GnuPG which you are going toinstall is an original and unmodified one, you can do it in one ofthe following ways: * If you already have a trusted version of GnuPG installed, you can simply check the supplied signature. For example to check the signature of the file gnupg-2.0.22.tar.bz2 you would use this command: gpg --verify gnupg-2.0.22.tar.bz2.sig This checks whether the signature file matches the source file. You should see a message indicating that the signature is good and made by that signing key. Make sure that you have the right key, either by checking the fingerprint of that key with other sources or by checking that the key has been signed by a trustworthy other key. Note, that you can retrieve the signing key using the command finger wk ,at' g10code.com or using a keyserver like gpg --keyserver keys.gnupg.net --recv-key 4F25E3B6 The distribution key 4F25E3B6 is signed by the well known key 1E42B367. NEVER USE A GNUPG VERSION YOU JUST DOWNLOADED TO CHECK THE INTEGRITY OF THE SOURCE - USE AN EXISTING GNUPG INSTALLATION! * If you are not able to use an old version of GnuPG, you have to verify the SHA-1 checksum. Assuming you downloaded the file gnupg-2.0.22.tar.bz2, you would run the sha1sum command like this: sha1sum gnupg-2.0.22.tar.bz2 and check that the output matches the first line from the following list:9ba9ee288e9bf813e0f1e25cbe06b58d3072d8b8 gnupg-2.0.22.tar.bz26cc51b14ed652fe7eadae25ec7cdaa6f63377525 gnupg-2.0.21-2.0.22.diff.bz2
Nachgelegt: Soeben ist GnuPG 1.4.15 erschienen: abermals ein "security fix release". In Pack 13.10.1 wurden dessen Änderungen im GnuPG-SpecialBuild eingepflegt. Jenen Anwendern des GnuPG-Packs, die ihre Installation regelmäßig aktualisiert haben, bringt GnuPG 1.4.15 wiederum nur wenige Neuerungen, da das Pack mit seinem eigens gepflegten GnuPG-SpecialBuild Korrekturen im Quelltext von GnuPG jeweils – nach Tests und kritischen Recherchen – zeitnah integriert. Die spezifischen Änderungen und Ergänzungen von GnuPG im GnuPG-SpecialBuild (u.a. stärkere RSA-Schlüssel und TIGER-Algorithmus) bleiben erhalten.
GnuPG wurde auf 2.0.22 aktualisiert. Kleopatra stürzt nun nicht mehr ab wenn man Microsoft Office IME verwendet. Unterstützung für SPR332 und 532 Pinpads.GnuPG: 2.0.22Kleopatra: 2.2.0GPA: 0.9.4GpgOL: 1.2.0GpgEX: 1.0.0Claws-Mail: 3.9.1Kompendium DE: 3.0.0Kompendium EN: 3.0.0
12. Oktober 2013Im GnuPG-SpecialBuild wurde u.a. das erst nach der Veröffentlichung von GnuPG 1.4.15 erschienene "Do not require a trustdb with --always-trust"-Fix eingepflegt.8. Oktober 2013Das Mozilla Thunderbird-Addon Enigmail wurde von 1.5.2 auf Version 1.6 aktualisiert.
In Pack 13.11.1 wurde die Konfiguration von GnuPG ergänzt sowie im GnuPG-SpecialBuild mit STRIBOG (GOST R 34.11-2012) ein weiterer zusätzlicher Hash-Algorithmus eingefügt.
Im in GnuPG-Pack 13.11.2 enthaltenen GnuPG-SpecialBuild wurden die Hash- bzw. Verschlüsselungsalgorithmen BLOWFISH, CAST5, SERPENT, CAST6, GOST 28147-89 und STRIBOG optimiert.
Im GnuPG-Pack 13.11.3 wurden im GnuPG-SpecialBuild das "Change armor Version header to emit only the major version"-Fix eingepflegt sowie die Hash-Algorithmen für die Verarbeitung von Dateien, die größer als 256 GB sind, optimiert.
Autor
Thema: GnuPG/Gpg4win/OpenPGP ... (Gelesen 23727 mal)
