Verschlüsselung: GnuPG mit neuer LTS-Version 2.2
Version 2.2 des Verschlüsselungswerkzeugs GnuPG wird der neue stabile Zweig der Software und löst damit GnuPG 2.0 ab, dessen Wartungszeitraum bald abläuft. Ausgabe 2.2.0 versorgen die Entwickler als LTS-Version lediglich mit Fixes.
- Jan Bundesmann
Mit der Freigabe der Version 2.2.0 haben die Entwickler des Gnu Privacy Guards (GnuPG) einen neuen stabilen Zweig eröffnet, der den bisherigen der Ausgabe 2.0 ersetzt. Für letzteren läuft der Wartungszeitraum Ende 2017 aus. GnuPG 2.2 folgt anschließend als LTS-Release.
GnuPG besitzt drei Varianten, die aktiv gepflegt werden: Classic, Stable und Modern. Die derzeitige Classic-Version ist 1.4, sie lässt sich neben Stable oder Modern installieren, während sich letztere gegenseitig ausschließen. Alle Neuerungen aus dem bisherigen "Modern Branch" finden sich auch in der jüngsten Version. Das Anfang August erschienene GnuPG 2.1.23 war der letzte Release Candidate und legte somit die Funktionen für Version 2.2 fest. Diese erhält künftig lediglich Bugfixes und Sicherheitspatches.
Kryptographie auf elliptischen Kurven
Zu den neuen Funktionen gehört die mit 2.1.0 eingeführte Option zur Veschlüsselung mit elliptischen Kurven (ECC). Zum Verschlüsseln und Signieren kann GnuPG dafür die NIST- und die Brainpool-Kurven verwenden. In beiden Fällen zweifeln allerdings etliche Nutzer die Sicherheit an. Bei NIST etwa hat die NSA mitgewirkt, die Brainpool-Kurven hat eine Gruppe unter Führung des BSI erstellt. Größeres Vertrauen genießt Dan J. Bernsteins Curve 25519, die GnuPG künftig als Standard verwenden will, sich bisher aber lediglich zum Signieren einsetzen lässt.
Im Vergleich zu Version 2.0 ist zudem die Zahl der Kommandozeilen-Optionen gestiegen, GnuPG erstellt automatisch Widerrufszertifikate. Das Binary heißt jetzt gpg, nicht mehr wie bisher gpg2. Das ist wichtig für alle Nutzer, die aus Kompatibilitätsgründen parallel das "klassische" GPG installiert haben. Diese können dem configure-Skript die Option --enable-gpg-is-gpg2 mitgeben, die das alte Verhalten wiederherstellt.
Eine Auflistung der Neuerungen enthält die Ankündigung in der GnuPG-Mailigliste sowie die Zusammenfassung auf der Website des Projekts. Erst vor kurzem hatte das Projekt eine Crowdfunding-Kampagne gestartet, um sich unabhängiger von Großspendern zu machen. (jab)
