[Gpg4win-announce-de] GnuPG-2.2.32 installieren, um Zugang zu WKD und Keyservern zu reparieren

Bernhard Reiter bernhard at intevation.de
Di Okt 19 16:10:53 CEST 2021


Hallo,

sofern Sie aktuelle Probleme haben auf Keyserver zuzugreifen,
oder Sie sich öffentliche Schlüssel per WKD holen,
dann sollten ein neues GnuPG installieren.

Damit aktualisieren Sie den Krypto-Kern Ihres Gpg4win-3.1.16
und beheben ein Problem mit den Let's Encrypt TLS-Zertifikaten,
welche für die Verbindungen mit vielen Keyservern oder WKD-Diensten
verwendet werden.

Am einfachsten ist es, das folgende Installationsprogramm laufen zu lassen:

       https://gnupg.org/ftp/gcrypt/binary/gnupg-w32-2.2.32_20211006.exe

Im Zweifelsfall raten wir zur Installation.

== Details
Hier ist die zugehörige OpenPGP Signatur:
(normalerweise unnötig, siehe https://www.gpg4win.org/package-integrity.html)
    https://gnupg.org/ftp/gcrypt/binary/gnupg-w32-2.2.32_20211006.exe.sig

Sie können alternativ die neue GnuPG 2.3 Serie testen, da die Version 2.3.3
die Verbesserung ebenfalls enthält.

=== Welches Problem wird behoben?
Let's Encrypt (LE) ermöglicht es, TLS-Zertifikate zu erhalten, die 
Verbindungen zu vielen Servern absichern. Darunter sind auch viele Keyserver
und Email-Anbieter mit WKD. (Das Thema Keyserver ist aus anderen Gründen in 
Bewegung, zum Beispiel zeigt https://spider.pgpkeys.eu/
eine Liste neuer, sich-abgleichender, dezentraler Keyserver.)

Ende September lief ein Wurzelzertifikat aus, welche die LE-Zertifikate 
gestützt hat und LE hat nun zu einem Trick gegriffen, um ältere Android 
Geräte weiterhin zu unterstützen. Geräte, bei denen es nach meinem 
Verständnis nicht einfach möglich ist, neue Wurzelzertifikate einzuspielen.
Gleichwohl ignorieren dieses alten Android-Version, das manche Zertifikate 
abgelaufen sind. LE hat sich deshalb ein Zwischenzertifikat besorgt, was auf 
der eigentlich abgelaufenen Wurzel aufbaut. Einfach gesagt, gibt es dadurch 
nun zwei Prüfwege für die LE-Zertifikate, einer ist gültig, der andere nicht. 
Die Logik von GnuPG musste angepasst werden, um immer den gültigen zu wählen. 
Eine andere Idee war, das abgelaufene Wurzelzertifikat aus dem Speicher des 
eigenen Systems zu entferenen, aber das funktioniert nicht, da manche
Betriebssystemhersteller oder Server-Betreiber das abgelaufene Zertifikat
weiterhin ausliefern.

Hintergrundinfos (Englisch):
https://www.openssl.org/blog/blog/2021/09/13/LetsEncryptRootCertExpire/
https://letsencrypt.org/2020/12/21/extending-android-compatibility.html

=== Warum dann keine neue Gpg4win-Version?
Zu Zeit bereiten wir die Gpg4win 4.0 Ausgabe vor, allerdings braucht das noch 
ein paar Tage. GnuPG direkt zu aktualisieren ist der schnellste
und risikoärmste Weg denjenigen eine Lösung zugänglich zu machen, welche sie 
brauchen. Es ist uns klar, dass die zusätzliche Installation Ihnen ein wenig 
mehr Arbeit macht, als sonst und wir hoffen, dass Sie uns das nachsehen. Wir 
haben diesen Weg gewählt, um Ihnen sowohl die Verbesserung als auch Gpg4win 
4.0 so schnell, wie möglich zur Verfügung stellen zu können.

Mit besten Grüßen,
Bernhard Reiter

-- 
www.intevation.de/~bernhard   +49 541 33 508 3-3
Intevation GmbH, Osnabrück, DE; Amtsgericht Osnabrück, HRB 18998
Geschäftsführer Frank Koormann, Bernhard Reiter, Dr. Jan-Oliver Wagner
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 659 bytes
Beschreibung: This is a digitally signed message part.
URL         : <http://lists.wald.intevation.org/pipermail/gpg4win-announce-de/attachments/20211019/dc4050a6/attachment.sig>


Mehr Informationen über die Mailingliste Gpg4win-announce-de