[Gpg4win-users-de] Gpg4win vs GnuPT vs GnuPG

Bernhard Reiter bernhard at intevation.de
Do Jan 2 17:18:43 CET 2014 

Hallo Stefan,

Dir und allen Gpg4win Nutzern und Unterstützern: Ein frohes neues Jahr!

On Saturday 21 December 2013 at 08:21:14, Stefan Uchrin wrote:
> Thunderbird läuft mit der Gpg4win-Installation, allerdings bin ich mir
> unsicher, ob ich zur Vereinfachung der Installation nicht auf GnuPG mit
> gnupg-w32cli-1.4.16.exe, oder alternativ GnuPT 5.2.0 (mit
> gnupt_5.2.0.exe) umstellen soll. Die Schlüsselverwaltung "Windows
> Privacy Tray" ist dort ganz hübsch, aber auch schon lange nicht mehr
> weiterentwickelt worden.
>
> Beide bzw. alle drei Pakete laufen störungsfrei mit Thunderbird.
>
> Gibt es Ratschläge zu den GnuPG-Versionen 1 und 2 hinsichtlich
> Sicherheit und Performance.

Bei GnuPG Serien sind voll unterstützt, insofern sollte beide 
ähnlich sicher sein. GnuPG 2 enthält allerdings eine verbesserte 
Grundarchitektur und weitere Dinge. Damit ist es zukunftsfähiger, was 
durchaus ein Sicherheitsaspekt ist. Meine Empfehlung im Allgemeinen: 
GnuPG 2 nutzen!

> GnuPG hat auf das Thema "Handy erlauscht RSA-Schlüssel" mit einer neuen
> Version reagiert. Vergleiche: http://bit.ly/18Cp5bO. Ist Gpg4win nicht
> betroffen?

Richtig, Gpg4win ist (meinem Kenntnisstand nach) nicht betroffen.
Wenn Du den Verweis im Artikel nachverfolgst, kommst Du auf
  http://lists.gnupg.org/pipermail/gnupg-announce/2013q4/000337.html
"GnuPG versions 2.x are not affected."
[..]
"GnuPG 1.4.16 avoids this attack by employing RSA blinding during
decryption.  GnuPG 2.x and current Gpg4win versions make use of
Libgcrypt which employs RSA blinding anyway and are thus not vulnerable."

Der Grund warum GnuPG 2.x nicht betroffen ist, weil es eine moderne Struktur 
hat, bei der viele Funktionen in das Modul "Libgcrypt" ausgelagert sind.
Und Libgcrypt ist gegen den Angriff schon vorher immun gewesen.
Das ist auch ein Hinweis auf meine Aussage oben: Das modernere GnuPG 2
ist diesmal schon einen Schritt weiter.

Und http://gpg4win.org/change-history.html zeigt, Gpg4win nimmt nur GnuPG 2.

Gruß,
Bernhard

-- 
www.intevation.de/~bernhard (CEO)    www.fsfe.org (Founding GA Member)
Intevation GmbH, Osnabrück, Germany; Amtsgericht Osnabrück, HRB 18998
Owned and run by Frank Koormann, Bernhard Reiter, Dr. Jan-Oliver Wagner
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 490 bytes
Beschreibung: This is a digitally signed message part.
URL         : <http://lists.wald.intevation.org/pipermail/gpg4win-users-de/attachments/20140102/e4acdcda/attachment.sig>

Mehr Informationen über die Mailingliste Gpg4win-users-de