Neue GnuPG-Version

Die stable release 1.4.0 der freien Verschlüselungssoftware GnuPG unterstützt weitere Algorithmen und wartet mit einigen neuen Funktionen auf. So kann der Nutzer beim Kompilieren des Quellcodes angeben, welche Algorithmen er integrieren will, um durch Weglassen unnötiger Verfahren Platz zu sparen. Der Secure Hash Algorithm (SHA) steht jetzt mit 256, 384 und 512 Bit zur Verfügung und das bzip2-Kompressionsformat wird für Lese- und Schreiboperationen unterstützt.

Dafür gilt der MD5-Hash-Algorithmus in GnuPG 1.4 als "deprecated", er ist nur noch für Rückwärtskompatibilität enthalten. Im MD5-Algorithmus zeigte sich kürzlich eine ernste Schwachstelle. Die Konsequenzen daraus beleuchtet ein aktuelles Paper von Dan Kaminsky.

Ebenso gibt es keine ElGamal-Signaturen und -Signaturschlüssel mehr. Auch hier gab es Ende 2003 eine schwerwiegende Sicherheitslücke, über die solche Schlüssel kompromittierbar waren. Die reine Verschlüsselung mit dem ElGamal-Algorithmus ist davon aber nicht betroffen und funktioniert weiterhin.

Die neue Release bietet auch einen verbesserten Befehlssatz für Keyserver. Schlüssel können jetzt direkt über http geholt werden und GnuGP unterstützt dabei auch IPv6. Zudem wurde der PGP-Trust-Mode integriert, mit dem Schlüssel in verschiedene Vertrauensstufen eingeordnet werden können.

GnuPG 1.4 ist über die offfizielle Webseite als Download erhältlich. Windows-Nutzer aufgepasst: Die ursprünglich bereitgestellte Version 1.4 weist einen Fehler auf, der mit der neuen Version 1.4a beseitigt wurde. Anwender, die sich bereits die erste Version besorgt haben, sollten sie schnellstmöglichst aktualisieren. (pab)