GnuPG unterstützt Krypto auf Elliptischen Kurven
Das soeben veröffentlichte Release GnuPG 2.1.0 bringt einige neue Funktionen, bessere Abläufe und es schneidet auch ein paar alte Zöpfe ab. Der 2.0er-Zweig wird als stabile Version weiter gepflegt.
Mit einem Schreiben an die GnuPG-Mailingliste stellt Chef-Entwickler Werner Koch die neue Version der beliebten Ende-zu-Ende-Verschlüsselungs-Software für E-Mail vor. GnuPG 2.1.0 legt den Grundstein für die weitere Entwicklung; als stabile Version für den allgemeinen Einsatz pflegen die Entwickler den Versionszweig 2.0 weiter. Und für Embedded-System soll es auch weiterhin GnuPG 1.4 aka "classic" geben.
Die wichtigste der Neuerungen in 2.1 ist die Einführung von Elliptic Curve Cryptography (ECC). Das traditionell für die asymmetrische Verschlüsselung eingesetzte RSA hat das Problem, dass die erforderlichen Schlüssellängen sehr stark ansteigen und bald kaum mehr handhabbar sind. ECC kommt hingegen mit sehr viel kürzeren Schlüsseln aus. Derzeit stehen diverse NIST-Kurven und die vom BSI erstellten Brainpool-Kurven zur Auswahl. Für reine Signatur-Schlüssel bietet GnuPG auch bereits Dan J. Bernsteins Curve 25519 an; Verschlüsselung ist damit bislang nicht möglich. Wegen der Bedenken vieler Experten in Bezug auf die NIST- und Brainpool-Kurven soll Curve 25519 auch der zukünftige Standard für GnuPG werden – so der Plan.
Darüber hinaus versuchen sich die Entwickler daran, dem Anwender mehr Komfort zu bieten. So wird jetzt etwa beim Erzeugen eines Schlüssels automatisch ein Widerrufs-Zertifikat erstellt. Das war zwar schon lange eine gute Praxis, musste aber bislang vom Anwender manuell erledigt werden. Aus Sicherheitsgründen verabschiedet sich GnuPG komplett von PGP-2-Schlüsseln. Wer noch mit diesen Schlüsseln hantieren muss, sollte dafür die Classic-Version GnuPG 1.4 parat halten, die man parallel zu einer 2.0- oder 2.1-Version nutzen kann.
Update 7.11.2014, 17:15: Hinweis auf Curve 25519 ergänzt. (ju)