Taggat med: OpenPGP

GnuPG 2.1.9 är nu släppt

GnuPGGnuPG är en öppen och fri mjukvara som implementerar OpenPGP och som i folkmun kallas PGP. Alla releaser som ligger under 2.1 går under benämningen ”modern” och innehåller således nya features. Stabila utgåvor ligger under 2.0 samt klassiska under 1.4.

Följande ändringar och nyheter innehåller version 2.1.9:

 * gpg: Allow fetching keys via OpenPGP DANE (--auto-key-locate).  New
   option --print-dane-records.

 * gpg: Fix for a problem with PGP-2 keys in a keyring.

 * gpg: Fail with an error instead of a warning if a modern cipher
   algorithm is used without a MDC.

 * agent: New option --pinentry-invisible-char.

 * agent: Always do a RSA signature verification after creation.

 * agent: Fix a regression in ssh-add-ing Ed25519 keys.

 * agent: Fix ssh fingerprint computation for nistp384 and EdDSA.

 * agent: Fix crash during passprase entry on some platforms.

 * scd: Change timeout to fix problems with some 2.1 cards.

 * dirmngr: Displayed name is now Key Acquirer.

 * dirmngr: Add option --keyserver.  Deprecate that option for gpg.
   Install a dirmngr.conf file from a skeleton for new installations.

Och här kan du ladda hem GnuPG:

Facebook + PGP = ❤️

Facebook PGP

Facebook stödjer nu att du kan ladda upp din publika nyckel till din Facebook-profil. Då kommer Facebook att använda denna nyckel när de skickar ut meddelanden via E-post.

Och som ovan bild visar så förhindrar detta även om ditt E-postkonto skulle bli kapat (men du använder väl tvåfaktorsautentisering också?).

Behöver ditt företag hjälp med IT-säkerhet eller kryptering? Kontakta Triop AB >

Detta är så klart ett bra uppsving för hela PGP och web of trust och detta märks tydligt då flertalet nyckelservrar såsom pgp.mit.edu svarar långsamt idag eller är helt nere. En tydlig koppling mellan din Facebook-profil och nyckel stärker förtroendet, lite åt det håll som tjänsten Keybase är tänkt.

För att bekräfta att din publika PGP-nyckel så skickar Facebook även ut ett krypterat verifieringsmail med en länk som du måste klicka på för att funktionen ska aktiveras.

Om du vill ladda hem någons publika PGP-nyckel så kan du göra det enligt följande exempel på URL:

https://www.facebook.com/facebookalias/publickey/download

Facebook PGP

Här laddar du upp din publika nyckel:

https://www.facebook.com/me/about?section=contact-info

Facebook själva använder en nyckel med följande fingerprint:

31A7 0953 D8D5 90BA 1FAB 3776 2F38 98CE DEE9 58CF

och denna subkey fingerprint:

D8B1 153C 9BE9 C7FD B62F 7861 DBF4 E8A2 96FD E3D7

Och Facebook kommer att stödja RSA och ElGamal men undersöker huruvida de även kan stödja elliptiska kurvor (ECC). Obligatorisk XKCD:

XKCD PGP

Tips! Gillade du att läsa detta? Kolla även in: Facebook finns nu på Tor

Ny End-to-End kryptering från Google

Google End to EndGoogle har nu lanserat ett Chrome-plugin som möjliggör PGP-kryptering direkt i webbläsaren med hjälp av OpenPGP. Pluginet går under namnet End-to-End och medger kryptering hela vägen från webbläsaren till slutdestinationen. Observera att det ännu bara är en alfaversion.

Än så länge finns ej pluginet tillgängligt via Chrome Web Store. Det går enbart att ladda hem som källkod via code.google.com och detta för att ge programmerare och bug hunters möjlighet att identifiera eventuella brister innan pluginet släpps till allmänheten.

En av fördelarna med detta plugin är att det gör det lätt för icke datorvana att kryptera information i exempelvis mail som skickas via GMail (Google Mail). Sen kan man alltid ställa sig frågan huruvida PGP bör göras i webbläsaren eller ej.

Förutom kryptering så stödjer även pluginet dekryptering, signering och verifiering.

Övrigt intressant är att om du väljer att skapa ett PGP-nyckelpar via Google End-to-End så kommer Google att skapa ECC-nycklar (elliptiska kurvor) vilket gör att GnuPG 1.X samt 2.0 ej stödjer detta utan mottagande part måste använda GnuPG 2.1 beta/developer.

Skärmdump hur ett krypterat mail skapas med hjälp av End-to-End:

 

Google End-to-end

Finns även några andra menyval:

Screen Shot 2014-06-04 at 08.37.37

Övrigt kan jag även rekommendera att kolla in ProtonMail som är en ny tjänst för end-to-end kryptering:

Källa

Diverse kryptonytt: iPhone, WEP, Tor, PFS, OpenPGP JavaScript

Här kommer en kortare länksammanfattning om det som vi twittrat om på sistone:

McAfee släpper topp 10 säkerhetstips för iPhone. Ladda hem PDF här.

Säkerhetsföretaget Immunity med före detta NSA-anställde Dave Aitel som grundare släpper ett verktyg som underlättar angrepp via WiFi med hjälp av WEP. Video hittar du här.

Tor berättar på sin blogg hur du kan använda Amazon EC2 för att köra din egen Tor-bridge i ”molnet”. Se även Tor Cloud sidan.

Google börjar att använda elliptiska kurvor för att skydda trafik via HTTPS. Mer specifikt så använder de ECDHE och RC4 vilket också möjliggör PFS eller (perfect) forward secrecy. Google har även bidragit till att OpenSSL-biblioteket stöder detta, se här.

Bruce Schneier som talade på konferensen Internetdagarna i veckan tipsar även om en gratis kryptokurs på Stanford.

Slashdot tipsar om att OpenPGP nu finns implementerat i JavaScript vilket gör det möjligt att köra i webbläsaren på godtycklig webbsida. Ett bra exempel är att använda tillsammans med webbmail såsom Google Mail. Implementationen går under namnet GPG4Browsers. Även så har SecWorks skrivit utförligare om detta.